L’éditeur de VMware, « un fournisseur étranger qui s’est comporté en tyran envers ses clients et partenaires »
Le CISPE s’inquiète des pratiques d’intimidation de Broadcom, l’éditeur de VMware, qui vont à l’encontre d’une stratégie souveraine dans le domaine du cloud computing. Et tire à boulets.
Broadcom présente son logiciel VMware Cloud Foundation (VCF) comme la technologie clé du « cloud souverain » de l’Union européenne, mais c’est faux, soutient le secrétaire général du Cispe, Francisco Mingorance. « Broadcom n’est pas la solution aux problèmes de souveraineté technologique de l’Europe ! »
En tant que fournisseur américain soumis au CLOUD Act et à d’autres injonctions extrajuridictionnelles, VCF, le logiciel VMware Cloud Foundation de Broadcom comporte des aspects qui compromettent le contrôle des services cloud par les clients.
« Son manque de portabilité et la rareté des alternatives font que VCF ne peut même pas prétendre à la certification ‘résilient’ au titre du cadre de cloud souverain et résilient du CISPE –un cadre conçu pour garantir aux clients le contrôle de leurs services lorsqu’ils utilisent des services non souverains. »
CADA, niveau 1
Suite à la publication du CADA (Cloud and AI Development Act), publié par la Commission européenne le 3 juin, le CISPE estime également que le logiciel de Broadcom ne devrait obtenir qu’une certification de niveau 1. Le niveau le plus bas.
Pour le CISPE, les manquements se répartissent en deux catégories. Dépendance logicielle, d’abord. Le cadre CISPE pour un cloud souverain et résilient définit clairement les contrôles nécessaires que les clients doivent exercer sur leurs logiciels. Il s’agit notamment de la capacité d’inspecter, de maintenir, de déplacer et de répliquer les éléments critiques. VCF est une pile logicielle propriétaire à code source fermé, fournie par un éditeur américain soumis à la réglementation sur les exportations (EAR), aux droits de douane de l’OFAC et au CLOUD Act.
Les conditions générales de Broadcom offrent des engagements de maintenance limités, aucun dépôt de code source, aucun plan de substitution et aucune certification au titre du Data Act. De ce fait, cette solution ne répondrait pas aux exigences de l’assurance CADA au-delà du niveau 1.
L’exécution de ce logiciel dans un centre de données souverain ou sur site ne résout pas ces problèmes de dépendance. Broadcom conserve le contrôle unilatéral et est la seule source de correctifs, de mises à jour et de maintenance. Si Broadcom le souhaite ou y est contraint, il peut interrompre l’accès à ses clients, les laissant ainsi avec une couche de virtualisation non licenciée et rapidement dégradée.
Dépendance
Deuxième volet, l’autonomie opérationnelle. Des mesures sont nécessaires pour garantir la résilience face aux risques opérationnels tels que l’interruption, l’interférence ou la dégradation du service. La réponse publique de Broadcom à la CADA reconnaît qu’« une dépendance logicielle permettant à un gouvernement étranger d’accéder à des opérations européennes ou de les perturber compromet la souveraineté ».
Pourtant, son propre mécanisme de « rapports de conformité », inclus dans la documentation spécifique du programme VCF (version 9.0 et suivantes), exige un rapport de conformité tous les 180 jours, sous peine de dégradation ou de blocage du plan de gestion. En clair, un dispositif d’arrêt d’urgence.
Broadcom, « tyran » envers ses clients et partenaires
Là encore, le déploiement dans des centres de données souverains ou sur site ne dispense pas de cette obligation, et il n’existe aucune alternative réaliste ou abordable. Les clients sont prisonniers d’une plateforme logicielle non souveraine et non résiliente.
Commentant ces conclusions, Francisco Mingorance, conclut que VCF est un produit propriétaire dont l’interopérabilité et la substituabilité sont limitées. « Il est contrôlé par un fournisseur étranger qui s’est comporté en tyran envers ses clients et partenaires. Si l’Europe a besoin d’un exemple des dangers d’une dépendance excessive à l’égard d’acteurs étrangers dominants, Broadcom en est la preuve ! »
