|
|
| (Une version intermédiaire par le même utilisateur non affichée) |
| Ligne 1 : |
Ligne 1 : |
| | [[Catégorie:Transcriptions]] | | [[Catégorie:Transcriptions]] |
| | | | |
| − | '''Titre :''' Alain Issarni CEO @Numspot - L'Open Source pour un cloud souverain
| + | Publié [https://www.librealire.org/alain-issarni-ceo-numspot-l-open-source-pour-un-cloud-souverain ici] - Mars 2024 |
| − | | |
| − | '''Intervenants :''' Alain Issarni - Thomas Walter
| |
| − | | |
| − | '''Lieu :''' Podcast Med in tech
| |
| − | | |
| − | '''Date :''' 15 février 2024
| |
| − | | |
| − | '''Durée :''' 1 h 17 min 32
| |
| − | | |
| − | '''[https://audio.ausha.co/B6G9ziGe6jxe.mp3 Podcast]'''
| |
| − | | |
| − | '''[https://open.spotify.com/episode/3Nps64PjDqFr9CLEUuESyd Présentation du podcast]'''
| |
| − | | |
| − | '''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
| |
| − | | |
| − | '''Illustration :''' À prévoir
| |
| − | | |
| − | '''NB :''' <em>Transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.<br/>
| |
| − | Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.</em>
| |
| − | | |
| − | ==Transcription (relu sans audio Véro)==
| |
| − | | |
| − | <b>Alain Issarni, voix off : </b>Il y a des gros travaux à l’heure actuelle et des discussions au niveau Europe, justement pour harmoniser cette vision sur la souveraineté et ce niveau de dépendance que l’on souhaite, ou pas, par rapport aux acteurs qui bénéficient de lois extraterritoriales. Je suis plutôt optimiste et confiant et on voit, aujourd’hui, que ça avance à une telle vitesse que les certitudes d’aujourd’hui ne sont pas les certitudes de demain.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est parti pour un nouvel épisode. Aujourd’hui, je crois que j’ai coché le bingo parce que ce sont tous les sujets que j’adore. On va parler de <em>cloud</em>, de données de santé, d’hébergement de données pour les acteurs de la santé tels que les établissements, un sujet qui m’est cher depuis que j’ai commencé à m’intéresser à la santé. On va parler d’IA générative, notamment d’IA générative dans le milieu hospitalier, un sujet qui est vraiment brûlant et qui m’intéresse particulièrement ; de cybersécurité, bref !, tout ce que j’adore.<br/>
| |
| − | Alain, bienvenue. J’ai hâte qu’on aborde un peu tout ça. On peut commencer, je vais te laisser te présenter et puis on va attaquer tous ces sujets, si tu veux bien.
| |
| − | | |
| − | <b>Alain Issarni : </b>Bonjour. Ravi de participer à ce podcast. Je partage aussi tous ces sujets passionnants.<br/>
| |
| − | Pour ma part, je suis le président de Numspot<ref>[https://numspot.com/ Numspot - Le partenaire cloud souverain et de confiance des secteurs stratégiques et sensibles]</ref>, une entreprise qui a été créée récemment, en février, j’y reviendrai. Auparavant j’ai été DSI à l’Assurance maladie pendant un peu plus de sept ans, encore auparavant j’ai été DSI non pas dans le monde de la santé, mais toujours dans la sphère publique, à la Direction générale des finances publiques. Donc un parcours très services publics et une bascule, en février, vers Numspot qui est une entreprise privée qui a de beaux actionnaires que sont la Caisse des dépôts et consignations, Docaposte, Dassault Systèmes et Bouygues Telecom. Le but de la société Numspot, qui a été créée en février, c’est de créer, on reviendra probablement sur le terme, un « <em>cloud</em> souverain et de confiance », à valeur ajoutée, avec des services managés pour servir le domaine de la santé, mais aussi tous les domaines qui ont une attention toute particulière sur la sensibilité des données et la protection des données. L’aventure a commencé en février, nous étions deux/trois, nous sommes à peu près une centaine maintenant et c’est juste enthousiasmant.
| |
| − | | |
| − | <b>Thomas Walter : </b>J’imagine. On va expliquer un peu tout ça.<br/>
| |
| − | Peut-être, pour lancer ma première question, on en parlait tout à l’heure quand on a préparé, c’est un sujet qui me tient particulièrement à cœur parce que, je te l’ai expliqué, j’avais essayé de faire une première aventure entrepreneuriale dans le milieu hospitalier, j’avais monté une boîte, on cherchait à prédire des erreurs de prescription à l’hôpital, les écarts, la pratique. Sorti d’école, je ne connaissais rien, avec beaucoup d’humilité, je ne connaissais pas grand-chose. J’avais une expérience plutôt de <em>data science</em> et de Web et je me suis dit « avec ces compétences-là, je vais aller à l’hôpital ; il y a des besoins d’utiliser de l’IA, des technologies pour aider les pratiques au quotidien, les pharmaciens qui essaient de détecter et de valider les prescriptions. » En fait, le premier problème auquel on s’est heurté, ce sont ces fameuses données.<br/>
| |
| − | Pour expliquer rapidement pourquoi on en avait besoin. L’idée c’est : on prend toutes les données qu’il y a sur les patients à l’hôpital, donc tout ce qui est rentré dans le système d’information. On a entraîné un algorithme qui prédit s'il y a un risque d'erreur, ou pas, pour ce patient de cette prescription. Du coup, on fait remonter les patients aux risques d’erreur, comme ça le pharmacien peut les regarder et prioriser son travail.<br/>
| |
| − | Sur le papier, ça marchait très bien, mais, dès qu’on a voulu passer en production, nous nous sommes heurtés à un problème d’infrastructure. Pour faire ça on a besoin de machines, on a besoin de GPU, de cartes graphiques qui peuvent faire beaucoup de calculs en parallèle. Du coup, on a demandé à la DSI [Direction des Systèmes d'Information] de l’hôpital « est-ce qu’on peut avoir cette machine ? » et la réponse a été « c’est compliqué » et, finalement, ça a pris plus de six mois pour l’avoir, c’était en 2018. Ça illustre un petit peu la difficulté, le paradoxe qu’il y a : on sent qu’on a besoin de nouveaux outils à l’hôpital ; l’IA, notamment, qui fait beaucoup parler d’elle en ce moment, pourrait être une solution à certains problèmes et, pour autant, on a l’impression que les infrastructures ne sont pas là et, à l’hôpital, on a ces délais, on n’a pas les machines pour faire tourner tout ça.<br/>
| |
| − | Est-ce que tu pourrais expliquer un peu ce paradoxe et, déjà, d’où ça vient ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Déjà bravo si, dès 2018, tu pensais à ces sujets-là, parce que, aujourd’hui, ça devient presque banal. Maintenant, tout le monde connaît l’IA générative. Je pense qu’en 2018 c’était un peu moins le cas. C’est un sujet important et la santé en a besoin.<br/>
| |
| − | Ce paradoxe, j’allais dire, est plutôt « simple », entre guillemets, malheureusement il faut le constater. On parle là de données de santé, des données extrêmement sensibles. Je pense que les DSI des hôpitaux sont particulièrement attentifs à la protection de ces données-là, donc, parfois, rechignent à aller dans le <em>cloud</em> pour des problèmes de confiance que l’on peut y accorder. Donc, faute de trouver des offres de confiance pour pouvoir y aller, ils gardent ça chez eux, mais, malheureusement, en fait les DSI ont des moyens limités, comme un peu partout, et c’est probablement difficile pour eux de pouvoir monter cela, surtout si ce sont des configurations atypiques, parce que ce que tu demandais en 2018 n’était peut-être pas totalement classique par rapport à ce que délivrait la DSI locale. Ça fait donc partie des difficultés qu’il peut y avoir.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est vrai qu’en comparaison, j’avais déjà fait d’autres projets, on allait sur des services de <em>cloud</em>, on les connaît, WS, GCP, les grands classiques, OVH<ref>[https://fr.wikipedia.org/wiki/OVHcloud OVHcloud]</ref> en France. C’est vrai que je vais sur un site, je me connecte, je m’inscris, je clique sur un bouton, j’ai ma machine et je peux commencer à travailler. Il y avait donc cette dichotomie entre, d’un côté, je l’ai en un jour et, de l’autre côté je l’ai dans six mois.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement, mais je pense que tout cela est lié, en fait, au niveau de confiance que l’on peut faire quand on va dans le <em>cloud</em>. J’allais dire que la raison d’être de Numspot est d’apporter cette confiance-là, on y reviendra probablement avec les hautes qualifications SecNumCloud<ref>[https://certification.afnor.org/numerique/qualification-secnumcloud Qualification SecNumCloud]</ref> et autres, avec des services managés, pour, justement, apporter cette flexibilité et cette agilité qu’on est en droit d’attendre dans le <em>cloud</em>. Les DSI ont besoin d’un haut niveau de confiance, de cette flexibilité et de cette agilité. En 2018, ça n’existait pas à ce point-là, je pense donc que ça posait les pires difficultés et ça allait à l’encontre du progrès que l’on est en droit d’attendre et que l’on espère un peu partout.
| |
| − | | |
| − | <b>Thomas Walter : </b>Avant d’enchaîner un peu sur ces sujets de SecNumCloud et de <em>cloud</em>, dans ton expérience d’avant, puisque tu étais DSI, tu gérais énormément de données santé extrêmement sensibles –~d’ailleurs, je ne sais pas si les données de l’Assurance maladie sont aujourd’hui dans le <em>cloud</em> ou pas~–, est-ce que c’est similaire comme raisonnement et, finalement, pourquoi ne pas décider d’aller dans le <em>cloud</em> il y a quelques années de ça ? Comment, en tant que DSI, as-tu raisonné à ce moment-là ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Question désagréable !
| |
| − | | |
| − | <b>Thomas Walter : </b>Désolé, je ne pensais pas que c’étaient des sujets qui fâchent.<br/>
| |
| − | C’est important parce que je trouve que c’est assez opaque. Quand j’ai commencé, j’ai essayé de comprendre. J’avais l’impression de ne pas comprendre les vraies raisons qui m’empêchaient d’avoir les bons outils pour travailler.
| |
| − | | |
| − | <b>Alain Issarni : </b>J’ai coutume de dire que la sphère publique en général, pas la sphère santé uniquement, mais la sphère publique en général, a un taux d’adoption du <em>cloud</em> qui est plutôt faible, voire très faible. Quand on se compare avec les pays anglo-saxons, les États-Unis ou autres, déjà, ne serait-ce qu’en général, le <em>cloud</em> est d'un niveau plus faible et la sphère publique d'un niveau encore plus faible.<br/>
| |
| − | Je dis qu’il y a deux raisons, il y a les bonnes et les mauvaises.<br/>
| |
| − | Je vais commencer tout de suite par les mauvaises et c’est pour cela que je disais la partie désagréable.<br/>
| |
| − | En fait, quand on a la chance d’être dans une DSI de taille très importante–~à l’Assurance maladie j’avais 1500 informaticiens en interne, à la DGFiP [Direction générale des Finances publiques] il y en a 4000~–, on a les moyens de faire quelque chose et on fait beaucoup de choses ; on a donc l’impression que l’on peut tout faire et qu’on peut être indépendant. Dans les faits, ces entités-là font de très belles choses au niveau informatique, il y a de très belles réussites, tout cela en le faisant en interne, mais ça nécessite des compétences j’allais dire du sol au plafond, c’est-à-dire de bâtir des salles, d’installer des serveurs, de câbler, en fait il faut tout faire.<br/>
| |
| − | Ça c’est plutôt la mauvaise raison et je pense que même les grosses DSI, dans l’avenir, n’auront pas les moyens de pouvoir faire ça, parce que tout cela va tellement vite que ça nécessite des ressources et des compétences qui sont particulières.
| |
| − | | |
| − | <b>Thomas Walter : </b>Quels sont, justement, les problèmes de faire soi-même ? Si j’ai des gros besoins d’IT sur les cinq/dix prochaines années, je me dis « je dimensionne suffisamment grand, je mets suffisamment de serveurs, j’entraîne les personnes qu’il faut et puis ça devrait le faire », non ?
| |
| − | | |
| − | <b>Alain Issarni : </b>C’est presque aussi facile que ça.<br/>
| |
| − | Déjà, si on veut bâtir une salle d’hébergement, ça nécessite des investissements considérables ; ces entités-là bâtissent des salles d’hébergement. Il faut s’occuper de métiers qui ne sont pas tout à fait dans l’informatique, s’occuper de la climatisation, de l’électricité, de tout cela ; il faut mettre de la redondance parce qu’il faut une salle d’hébergement avec un haut niveau de disponibilité, aujourd’hui on ne peut pas se contenter d’une salle qui, tous les trois jours, tomberait en panne parce qu’on n’aurait pas d’électricité ou autre. Ce sont donc les fameux tiers, deux, trois ou peut-être quatre. Ça nécessite des compétences, c’est un métier particulier.<br/>
| |
| − | Ensuite, une fois qu’on a la salle et l’infrastructure, il faut y mettre les serveurs, il faut le réseau.<br/>
| |
| − | Tout cela ce sont des métiers que l’on peut exercer.<br/>
| |
| − | L’avantage du <em>cloud</em> c’est que, justement, ça donne à un DSI la possibilité de ne pas avoir à s’occuper de cela. Pourquoi a-t-on créé les <em>clouds</em> ? En fait, c’est justement pour éviter ces sujets-là. Certes, il y avait le sujet de partage et de partage de coûts, mais, de fil en aiguille, le <em>cloud</em> a transformé les sujets en commodités, c’est-à-dire que tout cela devient une commodité. Dans certains milieux, on appelle cela des servitudes, dans la marine, les bateaux de servitude. Juste, peut-être, une pointe d’humour, c’est que servitude ça peut être « rendre service » mais ça peut être aussi « rendre servile ». Certains acteurs ont bien compris que cette servitude était aussi un moyen de rendre serviles et de tenir prisonniers, un peu, leurs clients. Pardon pour la parenthèse.<br/>
| |
| − | Je voulais dire par là que oui, si on est gros on peut faire cela, mais ça nécessite des compétences et des métiers qui sont parfois assez loin de ce que l’on imagine dans le monde de l’informatique et ça nécessite des investissements. Monter une salle d’hébergement, ça ne se fait pas tout de suite ; équiper et mettre des serveurs dans une salle d’hébergement, c’est un peu compliqué.<br/>
| |
| − | Quand on compare ça par rapport à la flexibilité qu’apporte, en toute objectivité, le <em>cloud</em>, c’est sûr qu’on peut se dire, si on fait confiance à l’acteur, « autant profiter de cette flexibilité et y aller ».
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est la mauvaise raison. Quelle serait la bonne raison de ne pas aller dans le <em>cloud</em> ?
| |
| − | | |
| − | <b>Alain Issarni : </b>La bonne raison. Je pense que, dans la sphère publique, beaucoup d’acteurs ont à cœur de protéger leurs données, ils sont convaincus que leurs données sont confidentielles et nécessitent d’être protégées. J’indiquais que j’étais à la DGFiP, j’allais dire qu’il n’y a pas plus gros secret que le secret fiscal. C’est juste catastrophique que d’imaginer que les données fiscales de quelqu’un tombent dans la boîte aux lettres d’un autre. C’est un gros sujet. Quand on est à l’Assurance maladie, on est particulièrement sensible aux données de santé, on a une attention toute particulière. Je crois que l’on peut généraliser cela à peu près à toute la sphère publique.<br/>
| |
| − | La bonne raison c’est qu’il y a quand même, derrière tout cela, la réflexion qui est « ces données étant ultrasensibles, il faut faire attention à ce que l’on fait, donc, si je n’arrive pas à trouver quelque chose dans le <em>cloud</em> qui me rassure complètement, alors je me réfugie et je le fais chez moi, parce que j’ai l’impression de beaucoup mieux protéger tout cela. »
| |
| − | | |
| − | <b>Thomas Walter : </b>Du coup, à l’époque, est-ce que c’était une impression ou est-ce que c’était véridique ? C’est-à-dire est-ce que c’était plus sécurisé d’avoir les données chez soi ou est-ce que c’était une impression que les données étaient moins sécurisées dans le <em>cloud</em> ? Tu parles de confiance, finalement. Quel est le degré de réalité de derrière ça ?
| |
| − | | |
| − | ==13’ 53 (relu sans audio Véro)==
| |
| − | | |
| − | <b>Alain Issarni : </b>Dans les faits, je pense que l’on peut dire que ces entités, qui hébergent des données qui sont particulièrement sensibles, les ont plutôt bien protégées au fil des années. Elles arrivent à faire des choses et à assurer un bon niveau de confiance et de sécurité de leurs données.<br/>
| |
| − | Le niveau de confiance que l’on peut avoir dans le <em>cloud</em> augmente de plus en plus, notamment grâce à l’ANSSI [Agence nationale de la sécurité des systèmes d'information] qui a édicté le référentiel SecNumCloud, justement pour apporter ce niveau de confiance. La sphère État et l’ANSSI ont estimé qu’il était intéressant d’avoir ce niveau de qualification, justement pour pouvoir apporter aux acteurs ce niveau de confiance, qui n’existait pas, à tort ou à raison, je dirais plutôt à raison. En France, on a un label, une qualification qui est extrêmement exigeante et qui est de nature à pouvoir quand même rassurer les acteurs sur le niveau de confiance que l’on peut y accorder.
| |
| − | | |
| − | <b>Thomas Walter : </b>On avait un petit peu discuté avec Cyprien, dans un épisode précédent, de SecNumCloud. Peux-tu nous expliquer ce qui fait que ce label est particulièrement exigeant ? Qu’est-ce qui fait que je peux avoir une grande confiance dans ceux qui ont ce label-là, et me dire « je sais que les données sont sécurisées par rapport à d’autres qui ne l’ont pas forcément, mais qui pourraient aussi avoir certaines normes de sécurité ? »
| |
| − | | |
| − | <b>Alain Issarni : </b>Il faut voir qu’on parle de <em>cloud</em> et de <em>cloud</em> public. L’intérêt du <em>cloud</em> public c’est de mutualiser, donc de faire côtoyer, potentiellement, des <em>workloads</em> de différents clients, si ce n’est sur les mêmes machines, sur des machines qui sont assez proches. Quand on fait ces choses-là en interne, en fait on n’a pas d’entités étrangères, au sens « étrangères à l’entité », qui viennent manipuler des données des serveurs ou autres. On a donc une sorte de bulle qui semble assez sécurisante.<br/>
| |
| − | Quand on veut faire cela dans le <em>cloud</em>, il faut quand même apporter ce niveau de sécurité et être sûr que telle entreprise qui utilise des <em>workloads</em> sur ces serveurs avec, à côté, une autre entreprise, il n’y a pas de communication possible et il n’y a pas la possibilité de pouvoir accéder de l’un à l’autre.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est-à-dire que physiquement si, demain, un établissement mettait ses données dans le <em>cloud</em> public, il pourrait y avoir les données d’un autre établissement sur la même machine, les données et les serveurs d’un site d’e-commerce ou ce genre de chose.
| |
| − | | |
| − | <b>Alain Issarni : </b>En fait, l’établissement qui va sur le <em>cloud</em> ne se préoccupe plus de savoir sur quelle machine, ce dont on parle. Numspot c’est du <em>cloud</em> public, ce n’est pas du <em>bare-metal </em>, c’est du <em>cloud</em> public. Il ne se soucie pas de savoir sur quelle machine, il a des instances, il a sa zone et sa préoccupation c’est d’être sûr qu’il n’y a pas de communication possible avec le voisin, qui est d’une proximité plus ou moins grande au niveau matériel. La difficulté c’est de pouvoir garantir au client cette étanchéité, alors même qu’on lui fait profiter de l’agilité du <em>cloud</em>. Les machines ne sont pas des machines qu’il achète en propre, ce sont des services et des instances, et il ne sait pas où elles sont, mais il est convaincu que tout cela est sécurisé pour lui.
| |
| − | | |
| − | <b>Thomas Walter : </b>Du coup, comment SecNumCloud garantit-il cela concrètement ? Qu’est-ce qui fait que c’est sûr, si je suis SecNumCloud, que mon voisin ne pourra pas accéder à mes données ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Justement en implémentant ces fonctionnalités et en assurant l’ANSSI, parce que c’est l’ANSSI qui qualifie, que tout ce qui a été mis en œuvre est conforme à sa doctrine et, effectivement, ne présente pas ce risque-là.
| |
| − | | |
| − | <b>Thomas Walter : </b>Aurais-tu un exemple d’une exigence qui permet d’assurer ça, pour bien comprendre, pour illustrer un petit peu ? Qu’est-ce qui fait que, physiquement, c’est sécurisé ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Physiquement et logiquement en fait. Tu es client, tu crées une application sur le <em>cloud</em>, tu administres donc ton application. Il faut être sûr que l’administrateur d’une application n’accède pas à l’administration de l’autre application, j’allais dire que c’est banal, pourquoi pas ! Mais l’exigence va plus loin entre la segmentation entre l’exploitant fonctionnel, c’est-à-dire le client, et l’exploitant qui est le fournisseur de <em>cloud</em>. Les exigences sont extrêmement fortes entre le prestataire et le commanditaire, dans le jargon du SecNumCloud, c’est-à-dire entre le client et le fournisseur de <em>cloud</em>, pour être sûr que la segmentation est aussi bonne et que le fournisseur de <em>cloud</em> n’accède pas aux données malgré l’utilisateur. Tout cela c’est une préoccupation que l’on n’a pas quand on crée son propre <em>cloud</em>, parce que, bien évidemment, l’admin-système c’est celui qui a la main sur tout et qui, potentiellement, peut accéder aux données. Dans les faits ce n’est pas tout à fait le cas. C’est-à-dire que celui qui administre les basses couches ou les services, n’a pas ces droits-là, c’est quand même le client qui les a.<br/>
| |
| − | C’est donc une garantie supplémentaire, on y reviendra probablement après, notamment sur la protection aux lois extraterritoriales : on s’interdit de pouvoir faire cela, plus une protection juridique compte-tenu de l’actionnariat qui nous donne une garantie encore plus forte ; ça fait partie des choses qui sont extrêmement contraignantes. Il y a d’autres choses, ça peut paraître anecdotique, mais qui agacent, en fait, les informaticiens : pour pouvoir accéder aux zones d’administration, il faut qu’on leur donne des PC qui soient bridés, qui ne soient pas exposés sur Internet pour ne pas prendre des risques d’avoir des rebonds de pollution ou autre. Tout cela, mine de rien, est assez contraignant et, j’allais dire, il y a assez peu d’entités qui poussent cet exercice à avoir ce niveau de sécurisation.<br/>
| |
| − | Il y a donc toute une palette de niveaux de sécurité qui a été pensée dans cet esprit de pouvoir apporter cette confiance sur la sécurité et, j’allais dire, l’exercice a été poussé suffisamment loin pour qu’obtenir la qualification soit un vrai challenge. Dans les faits, aujourd’hui, il n’y a que très peu d’acteurs qui sont qualifiés SecNumCloud. L’enjeu c’est que le nombre d’acteurs augmente pour rendre le SecNumCloud j’allais dire beaucoup plus accessible, mais en gardant toujours ce niveau d’exigence.
| |
| − | | |
| − | <b>Thomas Walter : </b>Du coup, ça y est, maintenant que ce label existe, va-t-on voir de plus en plus d’acteurs publics, en santé ? Est-ce que des DSI vont faire le pas d’aller vers le <em>cloud</em> ? Y a-t-il a des signes qui le montrent ? Est-ce que ça y est, on va avoir un niveau de confiance suffisant ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Je le pense. La notion de souveraineté, même si ce qu’on y met derrière est toujours un peu variable, est dans l’esprit de beaucoup de personnes, beaucoup plus que ça ne pouvait l’être, je pense, il y a deux ou trois ans. Il y a une préoccupation particulière là-dessus et l’enjeu, face à ce marché qui est en attente, c’est de créer l’offre en adéquation avec ce marché.
| |
| − | | |
| − | <b>Thomas Walter : </b>On avait parlé, on avait évoqué, j’ai vu passer ça mais je ne suis pas très au clair sur ce que ça veut dire : la doctrine « Cloud au centre »<ref>[https://www.numerique.gouv.fr/services/cloud/doctrine/#contenu Cloud au centre : la doctrine de l'État]</ref>. Tu m’en avais parlé tout à l’heure. Est-ce que tu peux nous expliquer un petit peu ce qu’est cette doctrine, en quoi elle consiste et si cela change quelque chose ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Cette doctrine est extrêmement importante dans toute cette logique de sécurisation et de <em>cloud</em> de confiance. C’est une doctrine dont la première version a été édictée en 2018, il y en a eu une importante en 2021 et la dernière a été mise à jour en mai 2023.<br/>
| |
| − | Quel est le but de cette doctrine ? L’État veut inciter les acteurs de la sphère État à favoriser l’adoption du <em>cloud</em> et aller dans le <em>cloud</em>, premier élément. Je pense que c’est intéressant, ça répond à ce que je disais tout à l’heure, au constat que l’on peut faire qu’il y a du retard dans ce monde-là, et je pense que c’est bon de pouvoir bénéficier du <em>cloud</em>, de toute cette flexibilité et autres. Premier point, c’est inciter les gros projets à aller dans le <em>cloud</em>.<br/>
| |
| − | Deuxième point et c’est la dernière version de la doctrine « Cloud au centre » qui a fait apparaître ça, c’est une définition des données sensibles qui, quand elles vont dans le <em>cloud</em>, alors elles doivent absolument aller en SecNumCloud. Il y a quelques rubriques, je vais les donner de mémoire. Il y a tout ce qui relève du secret de la vie privée, du secret des affaires, et, pour ce qui nous intéresse, du secret médical. Ça veut dire quoi ? Ça veut dire que la doctrine qui touche, en fait, la sphère publique, dit que quand des données de santé vont dans le <em>cloud</em> alors il faut aller dans le SecNumCloud. Le constat que l’on peut faire c’est, j’allais dire, la qualité qui est accordée par la sphère État à ce label SecNumCloud et aussi l’importance que l’on peut donner à la protection des données qui méritent d’avoir un hébergement qui a subi des épreuves longues pour obtenir cette qualification, mais qui, en contrepartie, apporte ce niveau de confiance.
| |
| − | | |
| − | <b>Thomas Walter : </b>Ça me fait beaucoup penser au projet du Health Data Hub<ref>[https://fr.wikipedia.org/wiki/Dossier_m%C3%A9dical_partag%C3%A9#Le_Health_Data_Hub Health Data Hub]</ref> qu’on avait évoqué, je crois que tu as un avis là-dessus. Peut-être, pour expliquer l’idée, telle que je la comprends : les données de santé, d’une part, sont très confidentielles, mais ont aussi de la valeur pour faire de la recherche, accélérer la découverte de nouveaux traitements, comprendre les tendances d’épidémiologie, on a bien vu, avec la crise du Covid, l’intérêt que ça pouvait avoir. Donc, d’un côté un grand intérêt, de l’autre, quand même, des polémiques sur le choix de l’hébergeur, il me semble que c’est Microsoft Azure.<br/>
| |
| − | Est-ce que, dans ce contexte-là, cette fameuse doctrine aurait changé quelque chose ? Est-ce que, demain, si un autre projet comme le Health Data Hub sort, tout le monde va sur forcément sur le SecNumCloud ? Quel est ton avis sur ce projet du Health Data Hub ?
| |
| − | | |
| − | <b>Alain Issarni : </b>C’est un très beau sujet. Health Data Hub va avoir pas mal de données, c’est la cible, pour permettre, justement, de faire de la recherche et pouvoir utiliser les données qui sont très nombreuses, qui viennent du SNDS [Système National des Données de Santé] qui est la plus grande base de données de santé en Europe et au monde, que je connais assez bien puisque c’est la CNAM qui l’a. L’enjeu du Health Data Hub c’est de pouvoir mener des projets en récupérant les données du SNDS, plus les données que fournissent les porteurs de projets, pour les combiner et pour pouvoir, grâce à l’analyse de data et de l’IA, en tirer des enseignements, parce que les données sont là et, probablement, assez peu exploitées.
| |
| − | | |
| − | <b>Thomas Walter : </b>Pour préciser, quelles sont les données qu’il y a dans le SNDS pour qu’on ait tous bien ça en tête ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Dans le SNDS, en fait, ce sont toutes les données de consommation médicale en France. Tu vas voir un médecin, tu te fais rembourser, le fait que tu aies consulté à un médecin y figure.
| |
| − | | |
| − | <b>Thomas Walter : </b>Donc tel jour, telle personne a consulté tel médecin.
| |
| − | | |
| − | <b>Alain Issarni : </b>C’est protégé, parce qu’il n’est pas marqué « Thomas », ce n'est pas intéressant que ça soit Thomas. Par contre, il est intéressant de savoir si Thomas est allé consulter un médecin tel jour, un mois après un autre médecin et ainsi de suite. Pour faire de l’analyse importante, je pense que c’est bien d’avoir une forme de pseudo Thomas pour pouvoir faire de l’analyse. Donc, depuis des années et des années, tout cela est collecté et permet d’avoir de façon pseudonymisée, c’est le terme, les données qui ont donné lieu à du remboursement. C’est donc extrêmement précieux.<br/>
| |
| − | Le but du Health Data Hub, c’est de pouvoir utiliser ça, le confronter avec d’autres données qui viennent des hôpitaux et autres, et voir ce que l’on peut en faire. C’est donc potentiellement extrêmement intéressant, on voit bien l’intérêt, notamment pour la recherche, que tout cela peut avoir.
| |
| − | | |
| − | <b>Thomas Walter : </b>Évidemment. Du coup, aujourd’hui, toutes ces données-là sont hébergées chez Azure ? Comment ça marche ce Health Data Hub ?
| |
| − | | |
| − | ==26’ 24 (relu sans audio Véro)==
| |
| − | | |
| − | <b>Alain Issarni : </b>Ça va nous emmener loin. Je vais essayer d’être prudent là-dessus.<br/>
| |
| − | Pour l’instant, les données sont à l’Assurance maladie, SNDS, et, justement, il y a, j’allais dire, un peu de bataille ou de discussions quant à savoir si l’ensemble de ces données peut aller sur le HDH. Pour l’instant ce n’est pas le cas, c’est ponctuellement, par projet, que tout cela est traité. C’est ce qui crée pas mal d’agacement pour les chercheurs, parce que tout cela met du temps pour récupérer les données, donc on n’y est pas.<br/>
| |
| − | De l’autre côté de la face, ce qui crée de la difficulté c’est le choix de l’hébergeur, le sujet est maintenant assez ancien, il y a eu une polémique que l’on sait, c’était pendant le Covid, en 2020, des annonces avaient été faites sur le fait que le Health Data Hub allait sortir de Azure pour aller sur des <em>clouds</em> souverains. Tout cela tarde un peu et il y a un peu de discussions sur les raisons de cela. En fait, il y a, je dirais, deux mondes qui s’affrontent.<br/>
| |
| − | Il y a ceux qui considèrent que ce qui est le plus important c’est de bénéficier de toutes les richesses fonctionnelles du <em>cloud</em>, parce que c’est ça qui est important et c’est ce qui permet d’aller vite et il y a ceux qui disent « attention, n’oublions pas les sujets de sécurité, de protection juridique qu’il peut y avoir. » Il y a donc deux visions qui s’affrontent. À un moment donné, il va bien falloir statuer là-dessus. Bien évidemment, j’ai mon avis personnel, je suis plutôt sur le deuxième point. Pourquoi suis-je plutôt sur le deuxième point ? Pour plusieurs raisons.
| |
| − | | |
| − | <b>Thomas Walter : </b>Justement, tu parles de souveraineté. Comment la définis-tu ?, parce que c’est de cela dont il s’agit. Est-ce qu’on est sur un <em>cloud</em> et on considère que c’est souverain ou pas ? Peux-tu expliquer un petit peu quelle est ta vision de la souveraineté et quels sont les enjeux qu’il y a derrière ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Ça va être passionnant.
| |
| − | | |
| − | <b>Thomas Walter : </b>Je sais, j’avais dit que c’était un bingo, il y a tous les sujets.
| |
| − | | |
| − | <b>Alain Issarni : </b>Il y a y a beaucoup de sujets et la souveraineté c’est un débat j’allais dire passionné, passionnant mais aussi passionné, peut-être parfois à tort.<br/>
| |
| − | Les extrémistes de la souveraineté disent « jamais vous ne construirez les puces, les serveurs et autres, arrêtez de nous parler de souveraineté parce que, de toute façon, vous n’êtes pas souverains ! »
| |
| − | | |
| − | <b>Thomas Walter : </b>Au sens complètement indépendants de tout.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. En fait, il y a deux choses.<br/>
| |
| − | Un instant, je vais m’élever au-dessus de ma condition et je vais dire « il y a la souveraineté parce que ça appartient à l’État. » Aujourd’hui, constater que plus de 70 % du <em>cloud</em> en Europe est détenu, je vais le dire comme ça, par des GAFAM qui relèvent d’un même pays, je pense que c’est un problème de souveraineté. Je ferme la parenthèse, ce n’est pas cette souveraineté que je suis censé défendre, mais, accessoirement, si je peux aider là-dessus, j’en serais ravi.
| |
| − | | |
| − | <b>Thomas Walter : </b>Autrement dit, est-ce que c'est un problème de protection des données ? Est-ce que c’est un problème plutôt économique ? Un problème politique ? OK, ce sont les GAFAM, on sait que ce sont des acteurs américains, mais concrètement ? Tu parlais aussi des lois extraterritoriales, je pense que ça en fait partie, mais concrètement quels sont les risques ? On l’avait un peu abordé avec Cyprien, mais je trouve que c’est important de l’expliquer, parce que c’est vrai que ce sont des concepts qu’on évoque, mais je trouve que le vrai risque, derrière, n’est pas forcément toujours très clair.
| |
| − | | |
| − | <b>Alain Issarni : </b>Le risque, c’est d’avoir un niveau de dépendance. En fait, derrière la souveraineté, c’est quel niveau de dépendance on accepte, ou pas, tu le vois bien si tu as 70 % d’un <em>cloud</em> chez un acteur. On va faire de la politique fiction et, désolé, on va aller très loin. Je ne sais pas ce qui va se passer le 4 novembre prochain, ce sont les élections aux États-Unis, je ne sais pas si je devrais le dire comme ça : si on tombe sur un président qui n’est pas contrôlable ou qui n’est pas raisonnable, il pourrait nous imposer certaines choses ou, pire, dire « finalement, les GAFAM, vous n'avez plus le droit de rendre service à tel endroit », il y a quand même pas mal de choses qui s’arrêtent. Je veux bien qu’on me dise « si ça se trouve, tu es en train de dérailler, tu es en train d’imaginer un cas qui ne se présentera pas », je n’en sais rien.
| |
| − | | |
| − | <b>Thomas Walter : </b>En tout cas, c’est un risque qui est dans la tête des politiques, c’est un risque qui existe, qu’on a dans la tête.
| |
| − | | |
| − | <b>Alain Issarni : </b>Oui, exactement. Après, c’est l’autonomie que l’on veut garder.<br/>
| |
| − | Je vais changer complètement de sujet. Au moment de la guerre d’Irak, je ne sais pas si tu te souviens, la France n’avait pas décidé de suivre immédiatement les États-Unis. Je crois que le Premier ministre d’alors, Dominique de Villepin –~il était peut-être aux Affaires étrangères, je ne sais pas~–, avait fait un discours à l’ONU en disant « on ne va pas y aller ». Une légende dit que, dans la foulée, les câbles de catapultage des avions du porte-avion n’étaient plus disponibles, je ne sais pas si c’est vrai, je veux bien imaginer que c’est vrai.<br/>
| |
| − | Pardon, je m’égare du sujet Numspot. On ne sait pas ce qui va se passer demain et si on se retrouve contraints, compte-tenu des dépendances que l’on a, c’est un sujet et c’est ça la souveraineté État/Europe ou autre.>br/>
| |
| − | Il y a un autre élément qui est, de mon point de vue, important et c’est un peu mon expérience de DSI qui dit ça : quand on dépend d’un acteur puissant, parfois il est un peu trop conscient du fait qu’il est puissant et on peut être soumis à une stratégie commerciale qui devient détestable. C’est aussi un niveau de dépendance qui peut être gênant.
| |
| − | | |
| − | <b>Thomas Walter : </b>Du jour au lendemain, augmenter les prix.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. Je l’ai connu dans le monde des licences, ce n’était pas le <em>cloud</em>. Auparavant, on achetait des licences, elles étaient perpétuelles, après on achetait du support. Si on ne s’entendait pas avec l’éditeur, on pouvait continuer à utiliser le produit. Maintenant, les licences ne sont presque plus perpétuelles, c’est sous souscription. Quand arrive l’échéance, soit tu t’es mis d’accord avec l’éditeur, soit tu ne t’es pas mis d’accord et si tu ne t’es pas mis d’accord, qu’est-ce qui se passe ? Ton service s’arrête. Donc, dans les faits, tu es obligé de te mettre d’accord aux conditions qu’il a commises.<br/>
| |
| − | Petite anecdote, et je ne citerai pas l’éditeur en question, dans une autre vie qui est très lointaine maintenant, on utilisait des logiciels à souscription. On avait des contraintes budgétaires, on fait 60 % de réduction de notre taux d’utilisation, <em>in fine</em> ça s’est traduit par plus 5 % sur le coût annuel ! Quand on a ce niveau-là de dépendance, il faut l’assumer dans la durée, ça n’est pas facile !<br/>
| |
| − | Donc oui, je pense que c’est un sujet d’avoir ce très haut niveau de dépendance dans le <em>cloud</em>.
| |
| − | | |
| − | <b>Thomas Walter : </b>Du coup, aujourd’hui, comment réponds-tu à ces deux sujets de souveraineté ? On peut l’illustrer un petit peu avec ce que tu montes avec Numspot.
| |
| − | | |
| − | <b>Alain Issarni : </b>Nous étions partis de ce qu’est la souveraineté. Je ne suis pas une extrémiste de la souveraineté parce que, bien évidemment, on ne construit pas tout. En fait, la question c’est de savoir quel niveau de dépendance on accepte. Donc, côté Numspot, on s’appuie sur Outscale<ref>[https://fr.wikipedia.org/wiki/Outscale Outscale]</ref> qui est une filiale de Dassault Systèmes. J’ai la chance d’avoir déjà un fournisseur de <em>cloud</em>. Donc, je n’aurai pas de salle d’hébergement, je n’aurai pas de serveur, en fait je m’appuie sur les services rendus par Outscale, qui est aussi dans cette orientation souveraineté et indépendance. Par exemple, l’hyperviseur qu’ils utilisent est un hyperviseur en propre, qu’ils ont développé en propre à partir de Libre.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est-à-dire un hyperviseur ? Peux-tu expliquer ?
| |
| − | | |
| − | <b>Alain Issarni : </b>C’est le service qui permet d’automatiser la fourniture de services pour le client, c’est un automate.
| |
| − | | |
| − | <b>Thomas Walter : </b>Tu n’as pas à gérer toi-même des machines.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. Pourquoi je dis ça ? Pareil, c’est pour faire un comparatif avec un éditeur du moment, qui fait ça, qui est extrêmement répandu, qui a été racheté par un autre acteur, ça a fait pas mal de débats ; je vais les citer, VMware<ref>[https://fr.wikipedia.org/wiki/VMware VMware]</ref> et Broadcom<ref>[https://fr.wikipedia.org/wiki/Broadcom Broadcom]</ref>. À l’occasion de ce rachat, la politique commerciale de ce nouveau propriétaire inquiète lourdement les DSI.
| |
| − | | |
| − | <b>Thomas Walter : </b>Oui, puisque tout le monde utilisait les services de VMWare, très connu.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement, beaucoup utilisaient les services de VMWare, que ça soit des fournisseurs de <em>cloud</em> ou même des entreprises, à titre personnel, sur leur propre SI. C’est un niveau de dépendance qui est fort, c’est une dépendance commerciale. De mémoire, je crois que c’est un rachat de 69 milliards, une entreprise qui devait faire 13 milliards de chiffre d’affaires, peut être deux/trois milliards à l’année. Pour rentabiliser 69 milliards, je pense qu’il va falloir faire quelque chose sur les prix.
| |
| − | | |
| − | <b>Thomas Walter : </b>Du coup, un impact sur les prix de VMWare va avoir un impact sur les prix de tous les autres services.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. Ça c’est le niveau de dépendance. Outscale a été, j’allais dire, plutôt audacieux, mais finalement judicieux là-dessus. Et nous, côté Numspot, pour tous les services managés que l’on construit, on s’appuie, pour l’instant, je ne vais pas dire exclusivement parce qu’il ne faut pas être jusqu’au-boutiste, sur des logiciels libres ; ce que l’on bâtit, c’est sur des logiciels libres, c’est donc une meilleure garantie quant à la dépendance que l’on peut avoir vis-à-vis de ces acteurs.
| |
| − | | |
| − | <b>Thomas Walter : </b>Il n’y a pas de prix sur les logiciels libres, évidemment ! Si, il y en a ?
| |
| − | | |
| − | <b>Alain Issarni : </b>C’est une erreur de dire que Libre c’est gratuit. Libre, ça coûte. Ça coûte pour l’entretien que tu veux pouvoir avoir ou mettre sur le produit, mais tu as la liberté de l’utiliser comme tu souhaites.
| |
| − | | |
| − | <b>Thomas Walter : </b>Tu n’as pas cette dépendance ou tu as une dépendance beaucoup moins forte.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement, c’est-à-dire qu’à la limite, si ton mainteneur ou la communauté ne te convient pas, tu accèdes au code et c’est toi qui continues à le modifier et à le maintenir. Tu n’es pas dans la situation où on te dit « ça s’arrête, vous ne pouvez plus l’utiliser, vous n’avez pas les clés qui vont bien. » De ce point de vue-là, de mon point de vue, en fait, les logiciels libres, c’est probablement le meilleur gage de souveraineté que l’on peut avoir sur le numérique.
| |
| − | | |
| − | <b>Thomas Walter : </b>Je fais un parallèle avec ce qu’on avait évoqué aussi avec Cyprien. Il disait que plusieurs acteurs se placent sur l’hébergement souverain et, en fait, que toutes les technologies de <em>cloud</em> ont commencé à être développées, les GAFAM ont commencé à les développer dans les années 2000/2005 et ont investi des milliards chaque année, pour construire cette technologie-là, grosso modo. Nous, nous sommes arrivés trop tard, du coup on ne rattrapera jamais ce retard.<br/>
| |
| − | Selon toi, est-ce que c’est vrai ou est-ce que, justement, les technologies libres sont aussi au niveau ? Finalement, où en est-on de cet écart ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Je le prendrai un peu différent. Je ne suis pas défaitiste sur ce sujet-là. De mon point de vue, je dirais que ce n’est pas parce qu’on a pris du retard qu’il faut accélérer et augmenter le niveau de dépendance. Après, je ne me fais pas d’illusions. Bien évidemment qu’aller concurrencer ces GAFAM-là sur la plénitude de leurs fonctionnalités et de leurs services, ça n’a pas de sens. Je pourrais le prétendre et, dès que je dis ça, je discrédite Numspot, bien évidemment, parce que ça n’est pas possible.<br/>
| |
| − | Est-ce que, parce que l’on ne sait pas faire à ce niveau-là, il ne faut rien faire et se résigner à dire que la bataille est perdue et ne pas monter à bord du <em>cloud</em> ? Je suis convaincu du contraire, toujours pour des sujets de dépendance. Qu’est-ce que l’on gagne à, j’allais dire, avoir une Ferrari si, dans six mois ou un an, on n’a pas les pièces de rechange et elle reste au garage ? D’accord ? Et est-ce que c’est grave, à défaut d’avoir la Ferrari, de commencer par une Clio et de monter en gamme au fur et à mesure où on bâtit les choses ? Je suis d’une philosophie qui est totalement différente. Je comprends l’argument qui consiste à dire « vous avez raté le train, allez jouer ailleurs parce que, de toute façon, jamais vous n’arriverez à concurrencer », mais, au bout du bout, les deux mondes existent. Je ne suis pas en train de dire qu’il faut supprimer les GAFAM ! Il peut y avoir des données qui n’ont pas de raison d’être protégées particulièrement et qui peuvent bénéficier de ces services-là, mais je dis « attention, quand les données deviennent sensibles, il faut regarder les dépendances et où on met les pieds. »<br/>
| |
| − | Entre privilégier uniquement la fonctionnalité au détriment de la sécurité ou ne privilégier que la sécurité avec une fonctionnalité faible, il y a un juste milieu à trouver. C’est ce juste milieu qu’on essaye de combler avec Numspot.<br/>
| |
| − | Sortons du débat. D’ailleurs, c’est celui que l’on a avec le HD, qui est : dites-nous que vous êtes au niveau des GAFAM, avec votre niveau de sécurité, et on ira avec vous. Mais, on sait, quand on dit ça, qu'en fait ça ne sert à rien de poser la question. Ça n’est pas possible. Il faut donc consentir, ou pas, à dire que les données méritent une protection particulière et dire voilà ce que l’on peut faire.<br/>
| |
| − | L’État, avec le Ségur, a dépensé énormément d’argent. Pourquoi, par exemple, ne pourrait-on pas aussi dire « on se contente de cela et on bâtit des offres qui vont être adaptées » ?
| |
| − | | |
| − | <b>Thomas Walter : </b>Finalement, avec la Clio, on peut déjà aller très loin.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. Donc oui, je suis d’accord, l’ambition ce n’est pas d’aller concurrencer et terrasser les GAFAM du jour au lendemain, ça n’a pas de sens. L’ambition, c’est justement de partir des offres sur un socle qui est bien sécurisé et de l’enrichir au gré des besoins des clients.
| |
| − | | |
| − | ==40’ 57 (relu sans audio Véro)==
| |
| − | | |
| − | <b>Thomas Walter : </b>Pour illustrer, la première fois que j’avais ouvert la console AWS [Amazon Web Services], quand on crée un compte, je crois qu’il y a 150 services qui ont tous des noms différents, on ne sait même pas lesquels utiliser, tellement c’est complexe, et, au final, on en utilise trois/quatre et ça couvre à peu près tous les besoins. De mon expérience personnelle, aujourd’hui, c’est cela qu’on fait. L’idée c’est de choisir les trois à quatre bons services à développer peut-être en premier, si j’ai bien compris.
| |
| − | | |
| − | <b>Alain Issarni : </b>Oui, exactement. C’est la règle des 80/20, tout simplement.<br/>
| |
| − | Je pourrais ajouter qu’il y a la sécurité juridique, on l’a un peu évoquée, les lois extraterritoriales. L’Europe n’est pas complètement alignée là-dessus, c’est assez étonnant de constater que les GAFAM, dans d’autres pays d’Europe, prétendent eux-mêmes fournir une offre souveraine sous prétexte qu’elle sera installée en France.
| |
| − | | |
| − | <b>Thomas Walter : </b>Peux-tu détailler un peu ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Il n’y a pas très longtemps AWS, ou Oracle, ont sorti une offre dite souveraine en Allemagne ou en Italie, je ne sais plus dans quel pays, sous prétexte que les <em>datacenters</em> sont installés là.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est peut-être assez évident, mais qu’est-ce qui fait que, finalement si je suis chez AWS mais hébergé en France, je ne suis pas souverain ? C’est peut-être une question évidente pour toi, mais c’est quand même un argument qui est effectivement souvent cité. Les données sont en France, elles ne sortent pas, elles sont dans des serveurs, dans des machines, dans des locaux qui sont en France.
| |
| − | | |
| − | <b>Alain Issarni : </b>J’allais dire que la meilleure démonstration, c’est que s’il y a des offres comme Bleu et Adsense, donc un vrai contact soit avec Azure, soit avec Google, eux-mêmes estiment que les offres de ces GAFAM installés en France, n’y suffisent pas, il faut donner une garantie supplémentaire, effacer du paysage de la société les GAFAM pour apporter cette garantie.<br/>
| |
| − | On a des acteurs en Europe qui, dans certains pays, défendent qu’ils peuvent être souverains et, en France —~je crois qu’il n’y a pas que la France, il y a aussi peut-être un peu l’Allemagne~—, il y a des acteurs qui, au contact avec ces mêmes GAFAM, disent « attention, il y a un risque », je vais revenir sur le risque, « et, pour me prémunir du risque, je crée une société qui va rendre le service mais en effaçant du capital le plus possible ces acteurs. »
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est vrai que ça montre qu’il y a effectivement un problème. C’est quoi exactement ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Ça veut dire qu’il y a des acteurs proches des GAFAM, en contact avec les GAFAM, qui considèrent qu’il y a un problème à les utiliser directement. Pour répondre à ta question, c’était pour moi la meilleure démonstration : même les plus grands sachants l’avouent, même les plus grands sachants disent de ces GAFAM qu’il y a quelque chose à faire.
| |
| − | | |
| − | <b>Thomas Walter : </b>Quel est le vrai risque, du coup ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Le vrai risque c’est effectivement le risque juridique et les fameuses lois extraterritoriales qui permettent –~on y reviendra peut-être un petit peu plus et j’essaierai de ne pas trop rentrer dans la technique~– aux services de renseignement américains, et il y en a beaucoup, de pouvoir accéder largement aux données des entreprises qui sont de droit américain. Tout le monde a entendu parler du <em>CLOUD Act</em><ref>[https://fr.wikipedia.org/wiki/CLOUD_Act <em>CLOUD Act</em> - <em>Clarifying Lawful Overseas Use of Data Act</em>]</ref>, mais, finalement c’est plus une autre loi qui est gênante, c’est ce qu’on appelle le FISA, <em>Foreign Intelligence Surveillance Act</em><ref>[https://fr.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act FISA - <em>Foreign Intelligence Surveillance Act</em>]</ref> . En fait, ça autorise tous les services de renseignement, de façon plus ou moins encadrée, c’est là le débat, à pouvoir accéder, facilement, aux données, et à les réclamer à des entreprises de droit américain où que soient les données, je dis bien où que soient les données, que ce soit en France ou ailleurs, ça permet de pouvoir y accéder.<br/>
| |
| − | Pourquoi ça pose problème selon moi ? Ce FISA, en fait, devait être renouvelé décembre 2023, il avait une échéance en décembre 2023. Les acteurs, au Congrès américain, n’ont pas réussi à se mettre d’accord, je reviendrai sur pourquoi ils n’ont pas réussi à se mettre d’accord, donc, pour l’instant, il y a une prolongation de quatre mois jusqu’au mois d’avril.<br/>
| |
| − | Pourquoi n’ont-ils pas réussi à se mettre d’accord ? Parce qu’il y en a qui veulent durcir cela et donner encore plus de pouvoirs aux services de renseignement et il y en a qui disent « attention, si cette loi est mal appliquée, elle est anticonstitutionnelle au sens de la Constitution des États-Unis. » En fait, le quatrième amendement de la Constitution des États-Unis protège ce qu’on appelle les <em>US persons</em>, c’est-à-dire les Américains ou les personnes qui vivent aux États-Unis. Qu’est-ce que ça veut dire ? Ça veut dire que si l’application du FISA touche des données d’<em>US persons</em>, elle est anticonstitutionnelle aux États-Unis.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est-à-dire que s’il y a des données d’Américains, par exemple en France, hébergées sur des serveurs en France, ça voudrait dire que des agences de renseignement pourraient y accéder alors que c'est... J’ai un tout petit peu de mal à comprendre.
| |
| − | | |
| − | <b>Alain Issarni : </b>Ce n’est pas tout à fait ça : s’il y a des données qui sont rendues accessibles par une entreprise de droit américain, alors les services de renseignement peuvent contraindre cette entreprise à accéder aux données et, en plus, interdire à cette entreprise de prévenir que les données ont été accédées, accessoirement.<br/>
| |
| − | On prend une entreprise de droit américain, soumise au droit américain, elle doit s’exécuter vis-à-vis des demandes des services de renseignement. C’est ce que ça autorise. Je dis que si les données accédées concernent des Américains ou des personnes qui vivent aux États-Unis, alors ces services de renseignement sont en infraction par rapport au quatrième amendement de la Constitution.<br/>
| |
| − | Bien évidemment, il y a des discussions aux États-Unis. Personne ne se préoccupe quant à savoir si les données accédées appartiennent à des Européens qui ne sont pas de droit américain, ça ne préoccupe personne !<br/>
| |
| − | En fait, il y a une distorsion du droit dans la façon de voir les différents individus et la protection n’est pas la même entre une <em>US person</em> et un Européen. Je pense donc qu’il y a un problème de fond, d’ailleurs l’activiste Schrems<ref>https://fr.wikipedia.org/wiki/Max_Schrems Max Schrems]</ref>, qui a donné lieu à Schrems 1 et Schrems 2, qui a contesté les équivalences auprès de la Cour européenne de justice, prétend que de toute façon les droits sont incompatibles, ce qui fait que ça ne pourra pas matcher.<br/>
| |
| − | Donc, au fond du fond, il y a ce débat qui est le risque juridique.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est donc ce risque juridique qui fait que les GAFAM ne peuvent pas prétendre à une offre souveraine s’ils sont hébergés en France ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. La dernière version du SecNumCloud, la version 3.2, au-delà de toute la technique qu’on évoquait tout à l’heure, qui est extrêmement contraignante, a introduit des limites sur la structure capitalistique de la société et, une société qui est détenue à plus de 24 % par des entreprises non européennes, par définition, ne peut pas prétendre au SecNumCloud.
| |
| − | | |
| − | <b>Thomas Walter : </b>Sinon, il y a un risque que ces lois s’appliquent.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement.
| |
| − | | |
| − | <b>Thomas Walter : </b>Je change un peu du sujet, parce que je voulais absolument l’évoquer. Je reprends l’exemple de mon premier projet où on faisait de l’IA à l’hôpital. On avait de forts besoins de GPU, ces cartes graphiques dont on entend beaucoup parler en ce moment avec l’IA générative, ces gros modèles qui font tourner ChatGPT et puis tous les autres.<br/>
| |
| − | Il y a, d’une part, une forte demande des GPU partout dans le monde et une offre assez faible, c’est surtout Nvidia qui répond, et aujourd’hui, même moi si je veux acheter un GPU, je vais attendre un petit peu. Il y a donc ce côté hardware qui est une vraie pression.<br/>
| |
| − | De l’autre, il y a forcément OpenAI, le grand acteur de ChatGPT, qui est américain, mais on voit aussi apparaître des Français, je ne sais pas si tu as entendu parler de Mistral<ref>[https://fr.wikipedia.org/wiki/Mistral_AI Mistral AI]</ref> qui a fait parler de lui parce que là où OpenAI a un modèle qui est fermé, ça s’appelle OpenAI, mais finalement… c’est la petite blague !, en face, on a des acteurs comme Mistral qui a une approche totalement différente, qui dit « notre modèle est ouvert, voilà l’ensemble des poids qui constituent le modèle », on peut les télécharger, je peux les télécharger et les faire tourner sur mon PC, ça fonctionne, à condition d’avoir ce fameux GPU.<br/>
| |
| − | En même temps, on voit des acteurs dans la santé, on voit des applications de l’IA générative dans la santé, j’ai vu la news : aujourd’hui, Alexandre Lebrun, que j’avais eu dans le podcast, à levé 24 millions avec Nabla<ref>[https://www.nabla.com/fr/ Nabla Copilot - L’assistant médical qui vous libère du temps]</ref>, pour utiliser l’IA générative pour aider les médecins au quotidien à prendre des notes automatiquement, pour, finalement, minimiser le temps passé à faire de l’administratif, qui est un gros problème aujourd’hui pour les professionnels de santé, notamment hospitaliers, qui passent beaucoup de temps à faire de l’administratif, parce qu’il faut coder les actes, il faut être précis, il faut écrire des comptes-rendus. On pourrait donc réduire toute cette démarche-là avec de l'IA générative et, du coup, passer plus de temps avec le patient, ce genre de chose.<br/>
| |
| − | On sent qu’il y a un gros potentiel. On sent aussi qu’en France on n’a pas ce retard, on a des acteurs qui sont très bien placés, très performants, les modèles de Mistral sont aussi performants, je crois, que ChatGPT 3.5 qui est le premier modèle d’OpenAI.<br/>
| |
| − | As-tu un avis là-dessus ? Est-ce que les infrastructures vont être prêtes, demain, et les hôpitaux pourront en bénéficier ? Est-ce que, du coup, cette offre, ce mouvement <em>cloud</em>, et peut-être ce que tu proposes chez Numspot, permettra d’en bénéficier, finalement d'avoir un vrai impact sur le quotidien des professionnels de santé ?
| |
| − | | |
| − | ==50’ 58 (relu sans audio Véro)==
| |
| − | | |
| − | <b>Alain Issarni : </b>L’IA générative est un vrai sujet, c’est un sujet d’actualité qui a explosé. Avec le Covid, on a parlé d’exponentielle, mais là, je pense qu’on dépasse les exponentielles en termes de niveau d’adoption et de ce qui va se créer.<br/>
| |
| − | Oui, il y a des alternatives qui se créent. Je ne suis pas un fin spécialiste, mais je partage le fait que Mistral ressemble à une belle pépite ; les spécialistes disent effectivement que leur dernier modèle libre serait équivalent, si ce n’est mieux, à ChatGPT 3.5, donc c’est encourageant. Et, ce que je disais avec le Libre, ça me plaît.<br/>
| |
| − | Donc oui, ça va exploser. Il y a des cas d’usage qui sont énormes, ceux que tu décrivais, il y a un cas d’usage qui a été annoncé par Docaposte avec qui nous sommes associés, justement pour bénéficier de cette IA générative. Le cas d’usage est « simple », entre guillemets, c’est un patient qui a un lourd dossier, je vais le dire comme ça, qui un parcours de santé assez important, qui va voir un professionnel de santé et, pour aider la préparation du rendez-vous avec le professionnel de santé, l’idée c’est de prendre le dossier médical, de nourrir l’IA avec, pour en sortir un résumé des informations importantes, pour préparer au mieux le rendez-vous. Ça fait partie d’un cas d’usage qu’est en train de développer Docaposte avec Open Value et ALEIA<ref>[https://aleia.com/ ALEIA, la plateforme SaaS d’intelligence artificielle]</ref>. On voit bien qu’il n’y a rien de plus sensible que les données que l’on met là : ce sont les pathologies directes du patient. Tout cela va être hébergé sur Numspot. Il y a une attention toute particulière à ces données de santé : quand on va discuter avec une IA générative on va lui donner des informations et, s’il y a bien des choses à protéger, ce sont celles-ci.<br/>
| |
| − | On se positionne bien évidemment là-dessus, on bénéficie des GPU de Outscale –~je reviendrai sur la pénurie des GPU~–, qui, accessoirement, sont qualifiés SecNumCloud, donc présentent ce niveau de confiance supplémentaire, pour pouvoir développer ce modèle et pouvoir, donc, bénéficier de ces avancées technologiques, de toutes ces fonctionnalités, et faciliter la vie des professionnels de santé.<br/>
| |
| − | Mais, encore une fois, on touche les professionnels de santé, on touche la santé, attention aux données. De mon point de vue, il ne me paraît pas raisonnable de dire qu’on va mettre ces données-là sur ChatGPT, compte-tenu de tout ce qu’on s’est dit jusqu’alors et des conditions.<br/>
| |
| − | Oui, il y a une pénurie de GPU, mais, j’allais dire, elle touche à peu près tout le monde. À titre individuel, je pense que c’est super compliqué d’acheter des GPU, ça l’est aussi pour les fournisseurs de <em>cloud</em>. Il y en a, mais il va falloir, peut-être sur certains sujets, patienter, mais, pour l’instant, on en a et on peut en mettre à disposition.
| |
| − | | |
| − | <b>Thomas Walter : </b>Justement, sur ce sujet des GPU, l’acteur principal est donc Nvidia<ref>[https://fr.wikipedia.org/wiki/Nvidia Nvidia]</ref>, c’est aussi un acteur américain. Est-ce qu’il y a ce vrai risque aussi de souveraineté ? Est-ce que c’est un sujet qui est adressé, aujourd’hui, dans les politiques françaises ou européennes ? Ou est-ce que, selon toi, ce n’est pas vraiment un risque ? Est-ce que, très concrètement, Nvidia pourrait dire « on arrête de servir les acteurs français, on privilégie les acteurs américains » ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Je suis entièrement d’accord, mais, encore une fois, c’est le niveau de dépendance que l’on a. Le jour où on se fâche, quand est-ce que l’aventure s’arrête ? Ce que je disais tout à l’heure : si on a un logiciel en mode souscription, le jour où on se fâche, l’aventure s’arrête tout de suite. Si on a un éditeur ou un fournisseur de <em>cloud</em> qui dit « j’ai décidé d’arrêter », l’aventure s’arrête tout de suite. Si Nvidia s’arrête, il a déjà vendu les puces, donc on peut continuer à les utiliser. Certes, l’avenir n’est pas complètement rose, mais ça ne s’arrête pas immédiatement et ça laisse peut-être le temps d’essayer de se reconfigurer. C’est là où je dis « attention, il faut pas être extrémiste sur la souveraineté, il faut savoir quelles sont les dépendances et quel est le niveau de risque de dépendance que l’on prend. » Pour moi, prendre un risque de dépendance qui fait que l’aventure s’arrête tout de suite, c’est un peu rédhibitoire. J’aimerais bien qu’il y ait des puces GPU françaises, mais il n’y en a pas, dont acte. Il faut être aussi un peu pragmatique. Un fournisseur de <em>cloud</em> qui a des puces GPU Nvidia les utilisera tant qu’elles fonctionneront !
| |
| − | | |
| − | <b>Thomas Walter : </b>Très clair ! Du coup, avec ce premier POC [<em>Proof of Concept</em>] qui est fait avec Docaposte, un premier <em>use case</em> qu’ils sont en train de développer pour les professionnels de santé, quelle est ta prédiction ? Quand est-ce que ça va arriver concrètement dans les hôpitaux pour en faire bénéficier les centaines de milliers de médecins ? On voit la vitesse à laquelle ça va ; c’est essentiellement un sujet de vitesse ! ChatGPT est arrivé et, en fait, en un mois, je crois qu’il y a eu 100 millions d’utilisateurs, un truc incroyable ! Tout le monde a pu en bénéficier, il y a forcément des médecins qui l’ont utilisé, je pense qu’il y a des données personnelles, c’est même sûr, qui ont dû y passer. D’ailleurs, est-ce que c’est un vrai problème, ou pas ? Du coup, je pense que les médecins ou les professionnels de santé qui s’y intéressent ont aussi envie, très largement, d’en bénéficier. Concrètement, quand pourront-ils le faire de manière <em>safe</em>, dans le bon cadre ? Si on dit que la manière sécurisée c’est dans cinq ans et que ChatGPT est là aujourd’hui, on peut imaginer où il sera dans cinq ans ! Est-ce qu’on arrivera à répondre assez vite à cette demande ?
| |
| − | | |
| − | <b>Alain Issarni : </b>La réponse est oui et ce n’est pas dans cinq ans. Tu citais tout à l’heure Mistral, leur modèle est libre, n’importe qui peut l’installer sur du <em>cloud</em> souverain et l’utiliser sur du <em>cloud</em> souverain ; c’est donc tout de suite.<br/>
| |
| − | Je pense qu’il faut faire attention. Il y a l’état de l’art, ce qu’on dit, ce qui est <em>rocket science</em>. Certes, il y a ce sujet de l’IA générative qui est extrêmement intéressant, il intéresse les chercheurs pour être à la pointe, mais il y a énormément d’autres usages, même dans le monde de la santé, il y a des choses pour faciliter la tâche : un parcours d’admission, par exemple ; qui dit qu’il ne pourrait pas y avoir un peu d’usage d’IA générative pour faciliter cela ? On peut donc aider le système de santé à plusieurs niveaux. Certes, il y a le sujet recherche, ou à la pointe, pour aider éventuellement le professionnel de santé à faire des diagnostics, je ne sais pas si c’est ce que tu avais en tête. Mais, par exemple, aider le profil santé à préparer un rendez-vous, c’est accessible, c’est ce que propose Docaposte avec les outils de maintenant, on n’a pas besoin d’attendre cinq ans. Il y a donc beaucoup de choses qui sont à faire et on va en découvrir énormément, en fait les cas d’usages ne font qu’exploser. C’est-à-dire qu’au fur à mesure où l’IA générative touche le plus grand nombre, énormément d’idées vont apparaître : comment je peux l’appliquer vis-à-vis de mon métier, comment je peux me faciliter la tâche et autres.
| |
| − | | |
| − | <b>Thomas Walter : </b>Quels sont les verrous qui restent à débloquer ? OK, les modèles sont là, Mistral est là. Je suis médecin généraliste dans un hôpital de l’AP-HP, qu’est-ce qui bloque, aujourd’hui, pour que je l’aie concrètement ? Je prends un médecin, mais ça pourrait aussi être des personnels non médicaux, une secrétaire médical pour aider à prendre ce compte-rendu. Qu’est-ce qui reste encore à débloquer ? Est-ce qu’il suffit d’un go ou est-ce qu’il y a encore des problèmes vraiment techniques, physiques pour que tout le monde en bénéficie ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Non, non. Pour moi il n’y a pas de technique. Pour que ça se répande énormément, en fait, c’est un sujet d’industrialisation du cas d’usage pour le rendre disponible au plus grand nombre. Les produits existent et, de façon <em>ad hoc</em>, tout cela peut se faire. Pas mal d’entreprises, dans le monde de l’IA, font d’ores et déjà des choses.
| |
| − | | |
| − | <b>Thomas Walter : </b>Est-ce que, c’était l’autre sujet que je voulais qu’on évoque, ça va rendre les hôpitaux –~je pense surtout aux hôpitaux, mais ça concerne tous les acteurs de santé~– plus vulnérables à des attaques ? On parle beaucoup de cybersécurité. Je me posais une question, je crois que je l’avais posée quand on a préparé : selon toi, quelles sont les causes des attaques que subissent les hôpitaux aujourd’hui ? De ce que je comprends, ce sont surtout des rançons : on chiffre les données, on demande rançon. D’ailleurs, est-ce que, aujourd’hui, ce sont des rançons qui sont payées et par qui ? Est-ce que ça bloque réellement l’hôpital ? Je me demande si des patients ont des chances de survie amoindries à cause de ça. Quel était l’impact ? Je ne sais pas si tu as une idée précise de ça, mais je suis vraiment très curieux de comprendre un peu plus ce sujet très opaque des attaques de cybersécurité, puisqu’on en entend beaucoup parler dans les médias. Concrètement, qu’en est-il ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Peut-être, juste avant, quelques généralités sur les hackers dans le sens déformé du terme, puisqu'un hacker c’est un informaticien. En français, le hacker a d’abord été le geek à capuche qui voulait éprouver la protection d’un système d’information, dont le seul but était de l’éprouver et ensuite d’annoncer, avec fierté, qu’il avait pu contourner tout cela, et ça s’arrêtait là.
| |
| − | | |
| − | <b>Thomas Walter : </b>Il n’y avait pas forcément d’exploitation derrière.
| |
| − | | |
| − | <b>Alain Issarni : </b>On n’y est plus, c’est fini ! Peut-être qu’il y en a encore qui jouent à ça, mais, en fait, ce n’est pas ça qui pose problème.<br/>
| |
| − | Au niveau cyber, il y a deux risques, aujourd’hui, qui sont beaucoup plus importants : il y a le risque étatique. On en entend parler de temps en temps, mais, forcément, tout cela est secret, mais il y a ce risque-là, de toute évidence, et le risque qui explose c’est le risque, j’allais dire, mafia. En fait, c’est juste un business. Ça peut, potentiellement, apporter beaucoup d’argent aux malfrats, donc ça explose.<br/>
| |
| − | Pourquoi je dis cela ? En fait, ces gens-là vont chercher là où c’est facile et là où il y a de l’intérêt. Le risque est lié au taux de convoitise des informations que l’on possède ou est lié au niveau de dégâts que l’on peut potentiellement créer. Pourquoi ? Parce que, de toute façon, quand on est là, on a une pression phénoménale pour obtenir de l’argent. Tu parlais des rançons, on y reviendra.<br/>
| |
| − | Dans la sphère santé, le potentiel image ou dégâts à créer est tellement énorme que ça attire ces groupes-là pour attaquer, parce que s’ils arrivent à attaquer, ils imaginent avoir une bonne chance d’en retirer de l’argent. Ils ne font ça que pour du business, il ne faut pas se leurrer. Les données de santé sont extrêmement précieuses et puis il y a l’aspect que tu évoques : si je condamne l’informatique d’un hôpital, qu’est-ce qui se passe ? Pour les quelques cas qui se sont présentés, c’est le déclenchement du plan blanc : les personnes ne sont plus soignées en local et vont ailleurs.
| |
| − | | |
| − | <b>Thomas Walter : </b>C’est-à-dire un plan blanc ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Je ne suis pas un fin spécialiste, mais un plan blanc ça veut dire que la patientèle est détournée de cet hôpital pour aller dans un autre hôpital, parce que cet hôpital-là ne peut plus rendre le service parce que son système d’information est bloqué et, plus grave encore, en fait tous les équipements. Ils sont informatiques, donc s’ils ne fonctionnent pas, si l’IRM ne fonctionne pas, si le scanner ne fonctionne pas, si l’équipement radio ne fonctionne pas, tout cela est à base d’informatique, eh bien le service n’est pas rendu.<br/>
| |
| − | Pourquoi sont-ils attaqués ? Parce que le pouvoir de nuisance est grand si on arrive à attaquer, donc la capacité à arriver à leurs fins est énorme.<br/>
| |
| − | Est-ce que les rançons sont payées ? Je ne sais pas y répondre. La doctrine État est de dire que la sphère publique ne paye pas de rançon. Je ne sais pas en dire beaucoup plus.<br/>
| |
| − | Ce sont donc des cibles privilégiées, c’est pour cela qu’ils sont attaqués.<br/>
| |
| − | Après, les systèmes d’information, ou les DSI des hôpitaux, sont de taille raisonnable. Est-ce que, compte-tenu de ce que je disais tout à l’heure, ils ont la capacité, tous les moyens ou toutes les ressources pour couvrir la sécurité du sol au plafond ?, c’est un peu compliqué ! Et oui, je pense que le <em>cloud</em> est de nature à les aider, s’il est de confiance, ce n’est pas la garantie absolue, parce que, sur un SecNumCloud, si tu crées une application qui est grande ouverte et qui expose tes données, tu as beau être sur du SecNumCloud, c’est toi qui as mis les données, qui les as exposées.
| |
| − | | |
| − | ==1 h 04’ 34 (relu sans audio Véro)==
| |
| − | | |
| − | <b>Thomas Walter : </b>La personne qui développe l’application peut aussi faire des…
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. Il faut être vigilant là-dessus. Le SecNumCloud apporte la garantie sur le fait que ce qui est managé par le fournisseur de <em>cloud</em> est en sécurité.<br/>
| |
| − | Donc oui, je pense que le <em>cloud</em> de confiance est de nature à les aider pour, justement, faire en sorte qu’ils bénéficient de ce que j’appelais les commodités et non pas les servitudes, pour se consacrer aux couches supérieures, à valeur ajoutée métier, dans le domaine de la santé.
| |
| − | | |
| − | <b>Thomas Walter : </b>Aujourd’hui, est-ce que tu connais des causes, des vulnérabilités qui ont permis, justement, d’attaquer les hôpitaux ? Je comprends que ce sont des cibles privilégiées parce qu’il y a un fort intérêt économique pour ces acteurs malveillants, plus que pour d’autres, mais comment, concrètement, arrivent-ils à les pénétrer ? Est-ce que c’est quelqu’un qui ouvre un e-mail et qui n’aurait pas dû ? Quelle est la nature de ces attaques ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Souvent, ça part de cela, c’est-à-dire via un e-mail qui n’aurait pas dû être ouvert, qui, combiné au fait que cette personne-là a des accès au système d’information ou à des zones sensibles –~d’où les fameux sujets que j’ai évoqués, le poste de travail qui doit être protégé~–, donc le poste de travail est infecté, donc ce virus-là va se propager et aller toucher le système d’information. Et, quand il est dans le système d’information, il se propage un peu partout. Souvent, ça commence comme ça. C’est pour cela que l’ANSSI est extrêmement rigoureuse sur la protection du poste d’administrateur pour éviter que, par une manipulation malencontreuse, un système d’information se retrouve contaminé.
| |
| − | | |
| − | <b>Thomas Walter : </b>D’où l’idée de brider les ordinateurs des personnels.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement. Brider l’accès à Internet, brider tout plein de choses sur les postes qui accèdent aux fonctions les plus sensibles du système d’information.
| |
| − | | |
| − | <b>Thomas Walter : </b>Du coup, ça contraint leur travail, c’est plus difficile.
| |
| − | | |
| − | <b>Alain Issarni : </b>C’est l’éternel débat, c’est ce que j’évoquais tout à l’heure sur le HDH, c’est le débat entre les fonctionnalités et la sécurité. Il y a un moment où la sécurité ne peut pas être la variable d’ajustement et il faut la considérer comme étant un incontournable.
| |
| − | | |
| − | <b>Thomas Walter : </b>On a évoqué beaucoup de sujets. Est-ce qu’il y a des choses que tu voulais évoquer et on n’a pas eu temps ? Je pose la question. Je pose tellement de questions que mes invités, parfois, ont dit « on n’a pas parlé de ça, ça aurait été cool ! » Y a-t-il un sujet que tu aurais voulu évoquer ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Juste à l’instant, non. On a parlé de beaucoup de choses, de beaucoup de sujets passionnants et qui me passionnent. Je ne sais pas si tu as vu.
| |
| − | | |
| − | <b>Thomas Walter : </b>Moi de même. Peut-être, pour commencer la conclusion, Numspot a été créée, il y a presque un an, tu l’as déjà évoqué, aujourd’hui, où en êtes-vous ? Est-ce qu’on peut déjà bénéficier de vos offres ? Peux-tu nous en dire un petit plus sur les prochaines étapes ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Oui, bien sûr. Donc créée en février en mode start-up. Nous étions trois quand on est arrivé, nous sommes à peu près une centaine maintenant. On a la chance, compte-tenu de l’actionnariat, d’être adossés à Outscale, un fournisseur de <em>cloud</em> SecNumcloud sur les couches IaaS [<em>infrastructure as a service</em>], très performant. On a déjà ces services-là et on peut en faire bénéficier nos clients, c’est disponible dès maintenant.<br/>
| |
| − | La finalité ce n’est pas de revendre uniquement de l’Outscale, c’est de rajouter des fonctionnalités et des services managés. On est en train de bâtir tout notre système d’information pour être fournisseur de <em>cloud</em> etavoir des services managés. Ils arrivent au mois de mai, c’est notre calendrier, et les premiers services managés que l’on va avoir ce sont du Kubernetes, du K8S managé, de l’Openship managé et du Postgre managé.
| |
| − | | |
| − | <b>Thomas Walter : </b>D’accord. Ces services managés permettront d’aller lancer tout ça.
| |
| − | | |
| − | <b>Alain Issarni : </b>Exactement, c’est le début de l’aventure sur les services managés, ce sont les services qui sont les plus demandés quand on veut aller dans le <em>cloud</em>, on les a identifiés, ce sont ceux-là que l’on veut rendre en premier.
| |
| − | | |
| − | <b>Thomas Walter : </b>Du coup, si je reprends, pour illustrer, mon exemple, puisque c’était quand même ce qui me tenait à cœur quand j’avais lancé ma première boîte, je cherchais, justement, ces services-là qui n’existaient pas. Est-ce que ça veut dire que si je commençais aujourd’hui cette startup, je pourrais développer une application avec de l’IA, là, dès aujourd’hui, ou est-ce que ce serait plutôt en mai et combien de temps ça me prendrait ? Concrètement, là, je suis développeur, j’ai un projet d’une application en santé avec de l’IA, est-ce que je peux t’appeler, je décroche mon téléphone et c’est parti ?
| |
| − | | |
| − | <b>Alain Issarni : </b>La réponse est oui. Après, ça dépend du service que tu veux. Si tu veux une IA qui est déjà façonnée, il faut qu’on travaille un peu ensemble pour voir exactement ce que tu veux et je pense que c’est facile. En fait, ça explose tellement ! Avant juin dernier, Mistral n’existait pas. Nous sommes en février, ils ont déjà d’ores et déjà créé un modèle qui est un équivalent de ChatGPT 3.5. Je pense que ça ne va aller qu’en s’accélérant. Donc, si ce que tu as en tête c’est d’utiliser une IA, qu’on te la mette à disposition pour que tu crées des cas d’usage, je pense que ça va arriver très rapidement.
| |
| − | | |
| − | <b>Thomas Walter : </b>OK. Donc ça, c’est pour cette année. Des perspectives pour les deux, trois, cinq ans ? Quels sont les prochains grands chantiers que tu as envie d’adresser ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Dans la poursuite des fonctionnalités, j’ai dit qu’on est loin des fonctionnalités qui peuvent exister chez les GAFAM, on commence, on va avoir une <em>roadmap</em> au gré des discussions qu’on peut avoir avec nos clients pour enrichir, émettre des services managés et servir le plus grand nombre. On commence en France et l’ambition que l’on a, dans les années à venir, c’est d’aller en Europe, le domaine que l’on veut couvrir c’est l’Europe, tu l’as bien compris. Nous sommes très orientés sécurité juridique et, en France, au niveau juridique, c’est l’Europe, donc ce que l’on fait pour la France est de nature à servir toute l’Europe.
| |
| − | | |
| − | <b>Thomas Walter : </b>D’ailleurs, on avait parlé un petit peu de l’Allemagne qui a un peu cette même politique de souveraineté. On avait un peu évoqué, avec Cyprien, les différences entre la France et l’Europe. Où en est-on ? Sommes-nous les premiers ? Est-ce qu’il y en a qui vont suivre ? Est-ce qu’il y a des différences ? Est-ce que les lois sont différentes ou, plutôt, y a-t-il une tendance à pousser, à décider d’harmoniser tout ça ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Il y a des gros travaux à l’heure actuelle et des discussions au niveau Europe pour, justement, harmoniser cette vision sur la souveraineté et ce niveau de dépendance que l’on souhaite, ou pas, par rapport aux acteurs qui bénéficient de lois extraterritoriales. Ça fait partie des discussions qui sont extrêmement importantes, que l’on suit bien.<br/>
| |
| − | Je pense que l’Europe mérite cette protection-là qui, tout naturellement, va faire émerger des acteurs équivalents. C’est assez agaçant de constater que finalement, dans le monde de l’informatique, beaucoup de choses ont prospéré aux États-Unis, mais les inventeurs de tout cela venaient de l’Europe. C’est pour cela que je ne suis pas tout à fait dans la démarche qui consiste à dire qu’il y a déjà eu des investissements, que la bataille est perdue, donc arrêtons. Je suis plutôt optimiste et confiant, et on voit, aujourd’hui, que ça avance à une telle vitesse que les certitudes d’aujourd’hui ne sont pas les certitudes de demain. Encore une fois, Mistral n’existait pas en juin, ça existe maintenant, et ils ont un produit qui concurrence ChatGPT. Qu’est-ce qui fait que, en juin prochain, il n’y aurait pas une autre initiative qui va permettre de faire émerger quelque chose qui n’aura pas à rougir de ce qui se fait par ailleurs ?
| |
| − | | |
| − | <b>Thomas Walter : </b>Je suis d’accord avec toi, ça bouge très vite et dans le bon sens. Je suis plutôt optimiste.<br/>
| |
| − | Dernière petite question, je voulais changer un petit peu. Je te pose la question : si tu étais ministre de la Santé, qu’est-ce que tu changerais ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Oh là ! Belle question.<br/>
| |
| − | Déjà, première réponse, je ne serai pas ministre de la Santé.<br/>
| |
| − | Tu as bien compris que j’ai une sensibilité particulière sur les données santé, j’ai une formation d’ingénieur, je ne suis pas indifférent aux progrès technologiques pour faire en sorte que la santé puisse bénéficier de tous les projets, de toutes les technologies qui existent. Pour moi, l’enjeu important sur cet aspect-là, c’est de pouvoir combiner les deux et de pouvoir les combiner de façon astucieuse et intelligente. Il faut donc trouver le juste équilibre entre tout ce qu’apportent les nouvelles technologies et la sécurité. Tu as bien compris que j’accorde une importance, pas totalement nulle à la sécurisation. Si je devais faire le constat, en tant que ministre de la Santé, que j’aie besoin de fonctionnalités qui ne sont pas sécurisées comme je le souhaite, alors je mettrais de l’énergie ou je ferais en sorte de pouvoir faire développer ces fonctionnalités –~il ne doit pas y en avoir trente-six mille et on peut commencer de façon raisonnable~–, sur du souverain et du sécurisé. Et arrêtons d’être dans le mode qui est « à vous de prouver que vous êtes au niveau pour qu’on vienne vous voir. » On sait que la réponse à cette question-là est simple : des acteurs ont mis des milliards sur la table, il sera impossible de les rattraper. Donc sortons de cela, la souveraineté est un enjeu ; l’enjeu technologique et le progrès dont doivent bénéficier la santé sont extrêmement importants ; faisons en sorte de favoriser l’émergence de ces fonctionnalités sur du <em>cloud</em> sécurisé.
| |
| − | | |
| − | <b>Thomas Walter : </b>Très clair.<br/>
| |
| − | Alain, merci beaucoup pour ton temps, pour cet épisode, une discussion effectivement passionnée et passionnante.<br/>
| |
| − | Où est-ce qu’on peut te retrouver ? Déjà Numspot, numspot.com ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Effectivement, numnspot.com, on a un très beau site, on participe à des événements : la semaine prochaine je vais participer à une table ronde sur la santé, tendance e-santé, à station F. Nous serons présents à SantExpo. On suit tout cela ; la santé fait partie de nos cibles, il n’y a pas que la santé, on regarde aussi d’autres secteurs, mais c’est une belle cible qui est importante pour nous. Nous sommes déjà positionnés dans le secteur public –~juste pardon, une petite parenthèse et un instant de pub. On sait que les centrales d’achat c’est extrêmement important pour les services publics, parce que, quand on est dans les services publics, il faut un marché et si on n’a pas un support contractuel on n’arrive pas à passer la commande. Les centrales d’achat sont de nature à faciliter la vie des acheteurs publics. La CAIH [Centrale d'Achat de l'Informatique Hospitalière], la centrale d’achat qui sert toute la sphère hospitalière, a passé un marché et, depuis octobre dernier, on a réussi à avoir un marché chez eux. C’est-à-dire qu’un marché a été gagné par Sopra et permet à l’ensemble des adhérents de la CAIH, c’est-à-dire de la sphère hospitalière, d’aller taper à la porte de Sopra, on fera en sorte que Sopra aille taper à la porte de tout le monde, mais d’aller taper à la porte de Sopra pour bénéficier du <em>cloud</em> Numspot. D’ores et déjà on a cela, nous sommes installés, on peut d’ores et déjà rendre des services à toute la sphère hospitalière sur ce sujet-là.
| |
| − | | |
| − | <b>Thomas Walter : </b>Très bon sujet, effectivement. J’en avais aussi fait les frais dans mon expérience précédente.<br/>
| |
| − | Très bien. Merci beaucoup pour ton temps. Je te souhaite déjà bon courage et bonne chance pour la suite, on va suivre ça de près.<br/>
| |
| − | À mes auditeurs, je propose de suivre Alain et Numspot. N’hésitez pas à vous abonner pour suivre les prochains épisodes et je vous dis à très bientôt.<br/>
| |
| − | Salut Alain.
| |
| − | | |
| − | <b>Alain Issarni : </b>Merci.
| |
