La structure de financement de la fusion Broadcom-VMware et les engagements de croissance associés auraient-ils dû alerter la Commission européenne ?

C’est l’opinion du CISPE, qui vient d’en faire part publiquement. En toile de fond, un recours que le lobby des fournisseurs cloud européens a introduit cet été auprès du Tribunal de l’UE. Il entend, par ce biais, faire annuler la décision de juillet 2023 par laquelle Bruxelles a autorisé Broadcom à acquérir VMware.

À ces fins, trois moyens sont invoqués. Selon le premier, la Commission européenne a omis d’examiner le risque de création ou de renforcement d’une position dominante – ainsi que d’une réduction significative de concurrence – sur le marché des logiciels de virtualisation des serveurs. Alors même, prétend le CISPE, qu’elle avait les éléments pour. Notamment des « avertissements remarquablement clairs » de personnes interrogées dans le cadre de son enquête de marché.

Le deuxième moyen dénonce une autre omission : l’analyse des risques de ventes groupées des logiciels VMware et des produits (software/hardware) de Broadcom. Le CISPE l’admet : la Commission européenne a affirmé que ces offres n’étaient pas complémentaires et qu’elles n’avaient pas les mêmes acheteurs. Il considère toutefois qu’elle n’en a pas donné de preuve concrète, sinon un renvoi à l’étude de marché. Elle n’aurait, par ailleurs, pas expliqué en quoi l’opération se distinguerait des acquisitions de CA Technologies et de Symantec, « qui ont toutes deux entraîné des ventes groupées et d’autres effets anticoncurrentiels similaires ».

Le troisième moyen pointe une omission d’enquête de manière approfondie au sujet des éventuels effets négatifs sur l’innovation sur tous les marchés affectés par l’opération.

Dette et promesses de croissance, d’indéniables indicateurs ?

Pour financer l’acquisition, Broadcom a levé environ 28,4 Md$ de dette, en plus de reprendre celle de VMware (autour de 8 Md$). Cette situation a engendré une « forte motivation » à monétiser rapidement la base VMware installée, assure le CISPE.

Pour ce qui est des engagements de croissance, le lobby se réfère à la promesse de Hock Tan de faire passer l’EBITDA de VMware d’une fourchette de 4,7-5Md$ à 8,5 Md$ dans un horizon de 3 ans après la fusion. Sur un marché en progression de seulement 5 à 8 % par an, une telle ambition ne pouvait raisonnablement être atteinte sans la stratégie commerciale agressive qui s’est ensuivie, estime-t-il.

672 jours pour publier la décision

Parallèmement à ce recours, le CISPE a déposé plainte début décembre auprès du Médiateur européen. Motif : Bruxelles a pris beaucoup trop de temps pour publier le texte complet de sa décision (672 jours en l’occurrence), qui n’a été attaquable qu’à partir de ce moment-là.

La Commission européenne a justifié ce délai par le droit des parties concernées à exiger la confidentialité de données commerciales sensibles. Et par le temps ainsi nécessaire pour s’accorder sur une version « épurée » du texte de la décision. Le CISPE rétorque que Broadcom en a profité pour jouer la montre.

La Commission européenne s’est concentrée sur le cas Marvell

Broadcom et VMware avaient signé leur accord de fusion le 26 mai 2022. Le 15 novembre, ils en avaient formellement notifié la Commission européenne. Cette dernière avait ouvert une enquête approfondie le 20 décembre.

Son avis préliminaire d’avril 2023 avait tracé les grandes lignes : le coeur du dossier porterait sur les effets de conglomérat au niveau des marchés des contrôleurs hôtes de bus Fibre Channel et des adaptateurs de stockage.

Sur les contrôleurs FC, le seul concurrent était Marvell. Bruxelles craignait que Broadcom ait la capacité de l’exclure en dégradant l’interopérabilité de ses contrôleurs FC et des logiciels de virtualisation serveur de VMware. Mais que ce dernier n’en aurait pas forcément la motivation, vu le risque de voir sa réputation de neutralité affectée.

Concernant les adaptateurs de stockage, les fabricants de serveurs seraient capables d’absorber les effets d’une certification retardée, avait jugé la Commission européenne. Un tel scénario n’affecterait pas significativement la concurrence, avait-elle ajouté ; tout comme d’ailleurs une dégradation de l’interopérabilité, d’autant plus que Broadcom ne jouissait pas d’une position dominante.

L’enquête a également englobé le marché des NIC et l’éventualité d’une vente liée des solutions logicielles de Broadcom et de VMware. Conclusion sur le premier point : le nouvel ensemble n’aurait pas la motivation économique de pratiquer une stratégie d’exclusion. Sur le second, il n’en aurait pas la capacité, les acheteurs étant distincts comme d’ailleurs les cycles d’achat.

Les engagements qui ont fait mouche

Face aux craintes exprimées, Broadcom avait proposé des engagements pour 10 ans. Principalement :

• Garantir à Marvell un accès à ses API, à son kit de développement de pilotes, à sa suite de certification et à du support technique, au même niveau que pour sa propre division FC
• Lui donner une visibilité complète sur ses pilotes de contrôleurs FC et lui permettre de les réutiliser et de les modifier, y compris pour développer ses propres pilotes
• Opérer une séparation organisationnelle entre l’équipe chargée des contrôleurs FC et celle assurant certification et support technique

Soumis à un test de marché, ces engagements avaient convaincu. Broadcom avait  néanmoins dû en affiner quelques aspects. Dont :

• Clarification de définitions et/ou élargissement de leur périmètre
• Garantie de frais modiques pour l’accès aux éléments susmentionnés
• Promesse d’octroyer cet accès en temps opportun
• Pas de traitement de faveur pour les produits Broadcom dans le guide de compatibilité VMware
• Suppression d’une clause qui donnait au nouvel ensemble la possibilité de développer des API pour usage interne de dev/test

Illustration générée par IA

The post Fusion Broadcom-VMware : le CISPE muscle son recours en annulation appeared first on Silicon.fr.

Pour accéder au catalogue Gaia-X du CISPE, attention à ne pas suivre le lien que l’association affiche sur la page d’accueil de son site.

Nous en avons fait l’amère expérience. Ledit lien pointe vers une ancienne version du catalogue… qui n’est que partiellement fonctionnelle. Certains filtres sont inopérants (localisation des services, par exemple) tandis que d’autres ne renvoient aucun résultat (tri par fournisseur, par certification, par label Gaia-X). De nombreuses fiches sont par ailleurs en doublon voire plus ; et sur chacune, le JSON source est inaccessible (erreur 503). Les contenus mêmes ne sont plus à jour, reflétant les principes de Gaia-X tels qu’ils étaient essentiellement fin 2022.

Une maintenance depuis la France

À la « bonne » adresse, la spécification Gaia-X référente est celle de mars 2025. L’enregistrement des services passe toujours par le CISPE (démarche gratuite pour les membres et les affiliés). L’exploitation et la maintenance du catalogue restent à la charge de Cloud Data Engine, SASU francilienne née en 2023, quelques semaines avant le passage en prod.

Les services listés respectent un socle minimal d’exigences – dit « conforité standard » – attendues pour pouvoir participer à l’écosystème Gaia-X. Ils peuvent être labellisés à trois niveaux supplémentaires.
Le premier comporte des exigences en matière de droit applicable, de gouvernance et de transparence. Il est obtenu sur la base d’une autocertification.
Le deuxième requiert une possibilité de traiter les données en Europe uniquement. Le troisième ajoute des critères pour assurer l’immunité aux lois extra-européennes. L’un et l’autre impliquent un audit tiers sur la protection des données et la cybersécurité ; pas sur la portabilité et la soutenabilité.

De premières offres labellisées Gaia-X niveau 3

À l’occasion du Sommet Gaia-X 2025, le CISPE a mis en lumière l’intégration d’un premier bouquet d’offres de services labellisées au niveau 3. Au nombre de 9, elles émanent de 5 fournisseurs. Dont 3 français :

• Cloud Temple (IaaS open source, IaaS bare metal et PaaS OpenShift)
• OVHcloud (Hosted Private Cloud by VMware)
• Thésée Datacenter (hébergement dans ses deux datacenters des Yvelines)

Les étiquettes désignant les autres niveaux de conformité n’ont encore été attachées à aucun service (elles l’étaient pour quelques-uns dans l’ancienne version du catalogue).

Cloud Temple rejoint Ikoula, OVHcloud et Thésée Data Center

Côté certifications, certaines étiquettes n’ont, là aussi, pas encore été massivement attribuées. Illustration avec le code de conduite SWIPO, actuellement associé à seulement 4 services.

D’autres étiquettes, à l’instar de C5 (le « SecNumCloud allemand »), ne retournent quasiment pas de résultats, faute de fournisseurs nationaux référencés dans le catalogue. Pour le moment ils sont 13 :

• Quatre français (Cloud Temple, Ikoula, OVHcloud, Thésée Data Center)
• Deux espagnols (Gigas Hosting, Jotelulu)
• Cinq italiens (Aruba, CoreTech, Netalia, Opiquad, Seeweb)
• Un néerlandais (Leaseweb)
• Un américain (AWS)

Cloud Temple – non membre du CISPE, comme OVHcloud et Thésée Data Center – et Seeweb étaient les seuls de ces fournisseurs à ne pas figurer dans l’ancienne version du catalogue*.

Les quelque 600 services référencés sont presque tous localisés dans l’UE. Les 15 exceptions (États-Unis, Canada, Australie, Singapour) sont liées à OVHcloud.

Les tags relatifs aux catégories de services visent large. « Authentification », par exemple, est attribué autant au remote desktop et au PBX virtuel de Jotelulu qu’à l’hébergement web et au Veeam d’OVHcloud.

* Son intégration « a posteriori » se ressent : elle ne respecte par l’ordre alphabétique (Cloud Temple est positionné après CoreTech dans la liste déroulante du filtre fournisseurs).

Illustration générée par IA

The post Trois ans après, que devient le catalogue Gaia-X du CISPE ? appeared first on Silicon.fr.

Imaginez : votre contrat client démarre le 15 du mois. Mais vos licences VMware débutent le 1^er. Vous vous retrouvez donc à payer pour deux semaines où vous ne générez pas de revenus.

Le CISPE regrette que les fournisseurs cloud – dont il défend les intérêts en Europe – soient désormais confrontés à cette situation. Il en fait part dans un rapport à charge contre Broadcom.

La rumeur du kill switch

C’est le troisième rapport du genre. Il est dans la lignée des précédents : voyants au rouge, absence d’avancées concrètes.

Entre résiliations unilatérales de contrats, hausses de prix et changements structurels au sein du programme partenaires, le cahier de doléances était déjà fourni. Il n’a pas désempli et s’est même étoffé.

La rigidité sur les dates de début et de fin des licences VMware fait partie des nouveaux points dénoncés.

Le CISPE craint une autre restriction de flexibilité : la fin du modèle qui permet aux CSP d’exploiter des cœurs supplémentaires ensuite payés en arriérés.
Il va jusqu’à évoquer les rumeurs sur un « kill switch«  grâce auquel Broadcom pourrait dégrader les fonctionnalités des solutions VMware si les clients ou les fournisseurs ne lui communiquent pas de données d’utilisation dans les formats et délais requis.

Le nouveau programme VCSP passe mal

Depuis la publication du rapport précédent (fin mai), Broadcom a officialisé la refonte de son programme VCSP (VMware Cloud Service Provider). Sans clarifier si elle s’appliquera en Europe.

Cette refonte prendra effet début novembre. À partir de là, les clients ne pourront pas porter leurs licences existantes vers un autre CSP, assure le CISPE. Les fournisseurs cloud qui ne feront pas partie du programme ne pourront plus héberger de solutions VMware – ils ne pourront que revendre des licences. Pour ceux qui en feront partie, ce sera l’inverse. Bilan : il leur faudra choisir entre les rôles de revendeur et de fournisseur de services, même s’ils ont des contrats sur les deux fronts.

Au fil des rapports, le ton est devenu plus emphatique. Le CISPE déclare désormais que les CSP qui dépendent de VMware pour délivrer leurs services font face à un « choix impossible ». Il leur faut « soit accepter des hausses de prix draconiennes et un verrouillage sur le long terme, soit se lancer dans des transitions longues, chères et potentiellement désastreuses vers d’autres fournisseurs ». Il n’existe, ajoute-t-il, pas d’alternative pour certains workloads, certifiés exclusivement pour VMware.

Pénalités, délais, privacy… Les desiderata du CISPE

En l’état, le CISPE exprime les souhaits suivants :

• Restauration de relations commerciales justes et prévisibles
  Par exemple, par un préavis de 6 mois minimum pour tout changement contractuel ou tarifaire dans le cadre de renouvellements.
• Amélioration du support pour les « petits » CSP
  Entre autres, avec au moins 6 mois supplémentaires pour s’engager en marque blanche.
• Davantage de flexibilité pour les « plus gros » CSP
  Avec des modèles éligibles aux réductions sur volume, un prix juste lors des pics d’utilisation, des plafonds d’usage étendus et la suppression des pénalités en cas de sous-utilisation.
• Accès plus simple aux échelons supérieurs du programme partenaires pour les « petits » CSP
• Permettre aux CSP de ne pas divulguer certaines données relatives aux clients finaux (usage spécifique des cœurs, données sur les workloads)
• Remédier aux augmentations de coûts résultant du regroupement d’offres

Constatant son impuissance, l’association a saisi, en juillet, le Tribunal de l’UE, pour tenter de faire annuler le rachat de VMware.

Illustration © ITE | I’M THE EARTH – Adobe Stock

The post Au point mort avec Broadcom, le CISPE maintient la pression appeared first on Silicon.fr.

Pas grave si vous ne respectez pas les exigences juridiques, vous pouvez vous rattraper par vos investissements en Europe.

Le CISPE interprète ainsi le Cloud Sovereignty Framework.

L’association représentative des CSP européens ne mâche pas ses mots au sujet de ce document qui doit servir de référence pour la commande publique de services cloud au niveau de l’UE. Elle y voit une porte grande ouverte aux hyperscalers étrangers.

Le Cigref et Gaia-X comme références

Le Cloud Sovereignty Framework doit fournir une grille de lecture « souveraine », articulée en 8 objectifs. Sa première mise en application est censée se faire dans le cadre d’un appel d’offres à 180 M€. Lequel permettra aux institutions, organes, bureaux et agences de l’UE d’acheter ses services IaaS et PaaS pour 6 ans. Jusqu’à 4 fournisseurs obtiendront un contrat (attribution prévue entre décembre 2025 et février 2026).

La Commisison européenne dit s’être inspirée du référentiel cloud de confiance du Cigref, des règles de Gaia-X et du cadre européen de certification de cybersécurité (NIS 2 et DORA sont cités). Elle évoque aussi les stratégies nationales « comme en France et en Allemagne ». Ainsi que les pratiques internationales en matière de contrôle des exportations, de résilience des chaînes d’approvisionnement et d’audits de sécurité.

Les 8 objectifs du Cloud Sovereignty Framework

Nous reprenons ci-dessous les 8 objectifs du Cloud Sovereignty Framework et les principaux enjeux qui les sous-tendent, tels que formulés.

Souveraineté stratégique

• Les organismes ayant la décision finale sur les services sont soumis à une juridiction européenne.
• Garanties contre le changement de contrôle
• Degré de dépendance du fournisseur à des financements de sources européennes
• Niveau d’investissement, de création d’emploi et de valeur dans l’UE
• Implication dans des initiatives européennes (cohérence avec les objectifs de souveraineté numérique et industrielle définis par l’UE)
• Capacité à maintenir une exploitation sécurisée en cas d’injonction à suspendre ou cesser la fourniture du service

Souveraineté légale et juridictionnelle

• Juridiction nationale gouvernant les activités et les contrats du fournisseur
• Degré d’exposition à des lois extraterritoriales non européennes à portée transfrontalière
• Existence de canaux juridiques, contractuels ou techniques par lesquels des autorités non européennes pourraient obtenir un accès aux données ou aux systèmes
• Applicabilité de régimes internationaux qui pourraient restreindre l’usage ou le transfert
• Juridiction où la propriété intellectuelle est créée, déposée et développée

Souveraineté des données et de l’IA

• Le client seul a un contrôle effectif sur l’accès cryptographique à ses données.
• Visibilité sur les accès aux données et sur l’usage des modèles d’IA ; mécanismes garantissant une suppression irréversible, avec preuves vérifiables
• Confinement strict du stockage et du traitement dans des juridictions européennes, sans repli vers des pays tiers
• Niveau de dépendance à des stacks technologiques non européennes (mesure dans laquelle les modèles d’IA et les pipelines de données sont développés, entraînés et hébergés sous contrôle européen)

Souveraineté opérationnelle

• Facilité de migration des workloads ou d’intégration avec des solutions alternatives européennes
• Capacité de gestion, maintenance et support sans implication de fournisseurs non européens
• Disponibilité de compétences dans l’UE
• Support opérationnel depuis l’UE et soumis exclusivement à des cadres juridiques européens
• Documentation technique complète, code source et ressources pour permettre une autonomie sur le long terme
• Localisation et contrôle juridique des fournisseurs et/ou des sous-traitants critiques

Souveraineté de la chaîne d’approvisionnement

• Origine géographique des composants physiques clés, lieu de fabrication
• Provenance du code embarqué contrôlant le matériel
• Origine du logiciel (où et par qui est-il programmé ? quelle(s) juridiction(s) gouverne(nt) le packaging, la distribution et les mises à jour ?)
• Degré de dépendance à des fournisseurs, usines ou technologies propriétaires non européens

Souveraineté technologique

• API ou protocoles bien documentés et non propriétaires ; adhésion à des standards de gouvernance largement adoptés
• Logiciels accessibles sous des licences ouvertes, avec droits d’audit, de modification et de redistribution
• Visibilité sur la conception et le fonctionnement du service (dont documentation de l’architecture, des flux de données et des dépendances)

Souveraineté de la sécurité et de la conformité

• Certifications européennes et internationales
• Adhérence au RGPD, à la NIS 2, à DORA et à d’autres cadres européens
• SOC et équipes de réponse foncitonnant exclusivement sous juridiction européenne ; contrôle direct de la supervision et de la journalisation par des acteurs européens (clients ou autorités)
• Signalement transparent et dans des délais raisonnables pour les failles et les vulnérabilités ; capacité à développer, tester et appliquer des correctifs sans dépendance à des fournisseurs non européens
• Capacité, pour des entités européennes, d’effectuer des audits indépendants de sécurité et de conformité

Soutenabilité environnementale

• Efficacité énergétique des infras (PUE bas) et objectifs d’amélioration mesurables
• Pratiques d’économie circulaire (réutilisation, reconditionnement, recyclage)
• Divulgation transparente des émissions carbone, de l’usage d’eau et d’autres indicateurs
• Approvisionnement en énergies renouvelable ou bas carbone

5 échelons de garantie

Sur chaque objectif, on détermine un niveau d’assurance entre 5 échelons :

0 (pas de souveraineté)
Service, technologie ou activité sous le contrôle exclusif de tiers non européens entièrement soumis à des juridictions non européennes.

1 (« souveraineté juridictionnelle »)
La législation de l’UE s’applique, mais son exécution est limitée en pratique.
Service, technologie ou activité sous le contrôle exclusif de tiers non européens.

2 (« souveraineté des données »)
La législation de l’UE est applicable et exécutoire.
D’importantes dépendances demeurent (service, technologie ou activité sous contrôle indirect de tiers non européens).

3 (« résilience numérique »)
La législation de l’UE est applicable et exécutoire.
Les acteurs européens exercent une influence significative mais pas totale (service, technologie ou activité sous contrôle marginal de tiers non européens).

4 (« souveraineté numérique complète »)
Technologie et activité sous contrôle européen total, sujettes seulement à la législation de l’UE, avec aucune dépendance critique à du non européen.

« On ne peut pas être souverain à 75 %« 

En complément au niveau d’assurance, on calcul un « score de souveraineté », avec une pondération par objectif :

• Souveraineté stratégique : 15 %
• Souveraineté légale et juridictionnelle : 10 %
• Souveraineté des données et de l’IA : 10 %
• Souveraineté opérationnelle : 15 %
• Souveraineté de la supply chain : 20 %
• Souveraineté technologique : 15 %
• Sécurité/conformité : 10 %
• Environnement : 5 %

Cette pondération prend en compte le fait que la procédure de commande contient déjà des garde-fous importants dans certains domaines, comme la souveraineté juridique et la sécurité/conformité, précise Bruxelles.

Le CISPE estime qu’un tel système créant une « moyenne de moyennes » ne favorise pas la transparence. L’association regrette par ailleurs la présence d’objectifs « inatteignables » (contrôle européen complet sur tous les composants matériels) et d’idées « vagues » (garanties sur le changement de contrôle). « On ne peut pas être souverain à 75 %, ajoute-t-elle : on l’est ou on ne l’est pas, comme un aliment est bio ou pas« .

EuroStack avance son propre framework

À l’instar du CISPE, l’initiative industrielle EuroStack se demande dans quelle mesure un fournisseur mal noté sur les deux premiers critères pourait se rattraper sur les autres. Elle rappelle avoir récemment publié sa propre proposition de framework, et souligne les différences avec celui de la Commission européenne. Parmi elles :

• Contrôle et juridiction
  EuroStack a adopté une approche « séquentielle » : le contrôle juridictionnel est un prérequis non négociable, avec des critères « précis et auditables » (localisation de l’ultime entité mère, seuil de droits de vote…).
•  Technologie et ouverture
  Chez EuroStack, pour gagner des points sur la dimension technique, le service doit être basé sur du logiciel open source. Et il doit permettre, au-delà des API ouvertes, la réversibilité opérationnelle (possibilité de reprise d’exploitation par un tiers).
• Contrôle et protection des données
  EuroStack revendique des critères plus explicites et rigoureux. Son framework précise notamment que le stockage et le traitement dans l’UE doivent englober les métadonnées, les sauvegardes et les logs.
• Contrôle opérationnel
  Sur ce volet, les critères sont dits plus spécifiques et quantitatifs. En particulier, ils identifient le plan de contrôle comme un composant critique et en exigent la localisation dans l’UE. Il imposent par ailleurs que 100 % du personnel disposant d’accès à privilèges soit sous juridiction européenne.
• Contribution économique et création de valeur
  Le framework d’EuroStack précise que la majorité des dépenses et du personnel R&D sur le cœur technologique doit être localisée dans l’UE.

Deloitte, qui a un partenariat avec AWS, avance les choses différemment. Il envisage un framework à 4 couches (opérations, data, logiciel/infra, sécurité)… et affirme que l’offre AWS Sovereign Cloud y répond (isolation physique et logique, exploitation indépendante, support technique par des résidents de l’UE, etc.).

Hexadone a aussi réagi… pour mettre en avant l’intérêt de ses prestations (valorisation des données territoriales). La coentreprise Orange-Banque des territoires juge que le pilier data et IA du Cloud Sovereignty Framework reste focalisé sur les aspects techniques et juridiques. Alors que la souveraineté des territoires repose aussi – « et surtout » – sur la manière dont les données sont produites, partagées et gouvernées. « La vraie souveraineté ne consiste pas seulement à héberger des fichiers en Europe, mais à garder la main sur leur sens, leur usage, leur impact« , explique-t-elle.

Illustration générée par IA

The post Cloud Sovereignty Framework : pourquoi l’UE essuie des critiques appeared first on Silicon.fr.