Pramana
13 juin 2023 Back To Basics #Architecture Technique #cloud public

Quelle stratégie adopter vis-à-vis du cloud souverain et du cloud de confiance (2/2) ?

Pramana

Introduction

Nous avons vu ensemble dans le premier article – à lire ou à relire ici – que la notion de cloud souverain n’est pas naissante. Depuis plus de 10 ans, la France et l’Europe tentent tant bien que mal de proposer des solutions pour répondre aux problématiques de souveraineté des données hébergées chez des fournisseurs cloud extra-européens. La notion de cloud de confiance est, quant à elle, plus récente et vient combler, par des exigences de sécurité moins élevées, le vide laissé par le manque d’offre complète de cloud souverain.

Nous avons également remarqué sur le terrain des divergences sur l’approche à adopter vis-à-vis du cloud. Si certains projets souhaitent s’impliquer davantage sur le cloud, d’autres sont plus modérés, en raison du manque de maîtrise sur les fournisseurs cloud étrangers. Malgré des avancées sur les offres souveraines et de confiance, nous constatons une certaine difficulté chez nos clients à définir une feuille de route les prenant en compte, en raison d’un manque de visibilité sur ces solutions – qui, quoi, quand, comment.

Ainsi, sur la base des expériences de nos architectes Pramana, nous vous proposons de voir ensemble quelques éléments à prendre en considération pour choisir la posture la plus adaptée vis-à-vis de ces types de cloud.

I – Attendre ou agir, que choisir ?

C’est sans doute la question que beaucoup se posent en ce moment lorsqu’il s’agit d’aborder le sujet des données sensibles sur le cloud.

Faut-il attendre qu’une offre souveraine complète arrive ? S’accoster sur des offres souveraines et/ou de confiance moins développées ? Ou faut-il se lancer sur des offres ni souveraines, ni de confiance, quitte à dégrader sa sécurité temporairement – et donc de gérer les risques sous-jacents -, mais en bénéficiant des avantages du cloud ?

Même si sur le papier le sujet est finalement simple puisque la sécurité passe avant toute chose (nous ne contredirons jamais ce point), la pratique ne le sera jamais. En réalité il faudra toujours jongler entre les objectifs et les obligations de chacun, conduisant parfois à faire des compromis. Ces compromis pourront concerner les coûts, les délais, les objectifs, mais en aucun cas la sécurité des données. Malheureusement, ce point ne sera pas toujours concevable pour tous. Attendez-vous à des réticences.

Ainsi, il faudra veiller à rester pragmatique et utiliser le cloud pour ce qu’il apporte à savoir une puissance de calcul, un accélérateur d’accès à l’innovation, un facilitateur d’exploitation, etc.

Le cloud souverain et le cloud de confiance répondent à des besoins de sécurité précis et ne sont donc pas indispensables pour tous les cas d’usages. Il peut-être tentant de s’orienter vers ces solutions car, après tout, on pourrait se dire qu’il n’y a jamais trop de sécurité. Cependant, opérer de la sorte peut avoir des conséquences négatives :

  • Sur les équipes IT, cantonnés à l’utilisation d’offres bridées par rapport à des offres classiques des fournisseurs cloud ;
  • Dans la même optique, sur la capacité à innover, empêchée par la limite des services proposés par ces offres comparativement à leurs homologues moins sécurisés ;
  • Sur les métiers, dans la mesure où le manque d’outillage pour ces offres, toujours en cours de développement, rallonge les délais de livraisons applicatives ;
  • Pour les budgets, du fait du coût supérieur aux offres standards, impactant en conséquence d’autres projets pouvant bénéficier de ces fonds.

Comme nous venons de le voir, la “sur-sécurité” peut avoir des effets négatifs non négligeables. Mais il en va de même pour la passivité. Empêcher dogmatiquement des projets d’aller sur le nuage car le cloud souverain n’est pas encore aussi bien développé qu’espéré, peut être associé à un frein au développement, entraînant un sentiment de décalage entre le management et les équipes techniques.

Ainsi, la sur-sécurité et la passivité peuvent poser des problématiques techniques, économiques mais aussi humaines. C’est pourquoi il est indispensable, pour choisir vers quelle solution cloud s’orienter, de comprendre les besoins métiers et techniques,   et de définir la manière dont ils doivent être gérés. Ces différents points sont la base de toute orientation vers des solutions cloud. Dès lors que ces points sont définis, il devient plus simple de choisir les outils adaptés.

II – Une approche simple et pragmatique

La généralisation des usages dans le nuage rend indispensable le fait d’avoir une stratégie cloud. Ne pas prendre en considération le cloud serait se priver de précieux outils pouvant répondre aux différents besoins métiers et techniques. Ainsi, une stratégie cloud doit se positionner comme un élément d’aide à la décision pour répondre à des problématiques et des opportunités clairement identifiées.

Nous avons vu plus haut dans l’article que les offres de cloud souverain et de confiance répondent, elles aussi, à des besoins très spécifiques. Dans les grandes lignes, il s’agit de protéger au mieux les données sensibles hébergées chez des fournisseurs cloud extra-européens. Mais se protéger de quoi ? S’il y a un risque, pourquoi ne pas conserver les données sur site ? Voilà le genre de questions, certes volontairement naïves, que nos architectes pourraient vous poser si vous envisagez d’utiliser ces offres de cloud sécurisé. L’objectif n’est pas de vous piéger mais plutôt de vous aider à vous reposer les questions de base auxquelles nous ne pensons pas toujours.

Ainsi, définissez clairement vos objectifs et vos besoins pour y répondre au mieux. Si le cloud représente une solution intéressante, évaluez les risques d’une externalisation de vos données et les mesures possibles pour gérer ces risques – évitement, réduction, transfert ou acceptation.

Les fournisseurs cloud pourront vous proposer ou non des solutions en fonction des mesures prises. C’est de cette manière que vous saurez vers quelle offre vous orienter.

Conclusion

Dans ces deux articles, nous avons éclairci les notions de cloud souverain et de cloud de confiance. Deux notions qui sont naturellement d’actualité au vu du contexte international tendu. Nous avons vu quelle approche avoir pour potentiellement intégrer ces solutions dans le cadre d’une stratégie de sécurisation des données dans le nuage. On pourrait cependant se dire que l’approche proposée est trop simple au regard des enjeux de sécurité actuels, remarque pouvant être légitime quand l’on voit dans la presse les impacts engendrés par des incidents de sécurité. A cela, nous répondrions « à quoi bon faire compliqué quand le bon sens permet d’apporter des solutions simples ?». Restons pragmatiques et ne nous laissons pas dépasser par le sujet qui, avouons-le, peut faire peur.

Le cloud peut répondre à des problématiques et offrir des opportunités, mais il peut aussi élargir la zone d’exposition  . Il en va de même pour le cloud souverain et le cloud de confiance.

Sur la base de ce constat, l’externalisation de données sensibles doit se faire en connaissance de cause et avec un niveau de maîtrise qualifié et acceptable. Notre conseil final sera de veiller à ne pas paralyser les projets en attendant des solutions miracles qui n’arriveront peut-être jamais ou alors tardivement, mais à quel prix.  Soyons proactifs et utilisons les outils à notre disposition à bon escient.

Rémi Béraux
Consultant en Architecture Technique