Cloud computing, la transparence avant tout
C'est désormais admis, les entreprises ne peuvent plus se passer du Cloud, vecteur de compétitivité et de valorisation des données. L’ensemble des grandes entreprises, les 3/4 des ETI et un peu plus d’une PME sur 2 utilisaient déjà une forme de Cloud computing en 2016, selon une étude de Markess.
L’enjeu pour les entreprises est désormais de conserver la maîtrise de leurs déploiements et de leurs données dans le Cloud, afin de bénéficier d’environnements toujours plus agiles, au meilleur coût, tout en garantissant la protection de leurs données et celles de leurs clients. La question fondamentale à cet effet, est celle de la transparence. Elle commence par le contrat avec l’hébergeur, qui doit notamment stipuler le droit applicable et rappeler les garanties de sécurité apportées par l’hébergeur, telles que les clauses d’audit que le client peut exiger de son fournisseur . Il convient aussi de vérifier les mesures de sécurité apportées par les infrastructures et les services Cloud : identification sécurisée des utilisateurs (authentification renforcée), communications chiffrées par des protocoles et algorithmes récents, filtrages applicatifs et réseau (pare-feu / WAF), protection anti-déni de services (anti-DDoS), mise à jour régulière des patches de sécurité...
Les certifications, qui reposent sur des référentiels ou des audits par des tiers extérieurs, conforteront la confiance dans le fournisseur. Pour certains traitements sensibles ou pour des domaines d’applications qui le requièrent (ex. : la santé, les OIVs), les entreprises peuvent également solliciter des services disposant de labels renforcés (comme SecNumCloud ou HDS en France).
Penser local dans des projets mondialisés
Bien que souvent occultée par certains hébergeurs, la localisation des données et des plateformes est un critère complémentaire important, car les règles qui prévalent en matière de Cloud restent celles du territoire où elles sont hébergées. Des législations différentes coexistent dans une économie globalisée. Cela complique la concurrence et la comparaison des différentes offres, mais soulève l’enjeu de l’indépendance économique et de la protection des données.
La souveraineté numérique occupe un terrain qui s’étend bien au-delà du seul choix d’un fournisseur de Cloud : sont en jeu la paternité, la collecte, l’exploitation et la protection des données utilisées, au cœur des libertés des citoyens et des entreprises. Il convient donc d’être vigilant quant aux conditions de recueil et de traitement des données, notamment personnelles – par exemple, le respect de dispositions réglementaires équivalentes à celles du RGPD (Règlement Général de Protection des Données) au sein de l’Union Européenne.
Tirer parti d’un service de proximité
Il est d’autant plus vertueux d’encourager les entreprises à travailler avec des acteurs nationaux du numérique que leur proximité est synonyme d’avantages compétitifs. D’une part, les entreprises ont souvent besoin d’un accompagnement pour traiter les problématiques de migration ou d’intégration de leurs systèmes d’information existants, liées aux services dans le Cloud. Or, les Clouds souverains (c’est-à-dire de droit national, hébergeant les données sur le territoire) ont l’habitude de travailler avec les intégrateurs locaux, voire délivrent eux-mêmes de telles prestations. Un utilisateur préfèrera toujours échanger avec un partenaire proche, plutôt que de consulter une page FAQ sur un site.
D’autre part, l'accès à un datacenter étranger peut engendrer une latence gênante pour certaines applications, notamment pour les usages en temps réel. La distance peut également pénaliser les performances des applications hébergées en interne, lorsqu’elles communiquent avec des données du Cloud, ou dans le cadre de plans de reprise d’activités de celui-ci.
Garder son indépendance vis-à-vis du fournisseur
Enfin, quel que soit son choix, une entreprise doit veiller à conserver son indépendance vis-à-vis des fournisseurs de Cloud. Le rapport de force entre partenaires doit être équilibré : l’infogérance implique transparence et flexibilité. Compte tenu de la rapidité d’évolution des technologies, il est vital de conserver une grande agilité en matière de politique IT. Les entreprises doivent pouvoir migrer facilement d’un fournisseur à l’autre, s’orienter le cas échéant vers un environnement multi-fournisseurs et adapter leur gouvernance. Il est recommandé de privilégier un fournisseur qui s’appuie sur des standards reconnus du marché, avec des implémentations et des APIs interopérables afin de faciliter le portage multi-Clouds voire réaliser une éventuelle phase de réversibilité.
En contrepartie, il est nécessaire que les hébergeurs Cloud soient soutenus par leurs clients. Ces derniers ont intérêt à collaborer avec un hébergeur local qui a les moyens d’innover et d’étendre son offre pour rivaliser avec la concurrence étrangère.
Pour aller plus loin
> Souveraineté numérique : avenir de nos économies et de nos sociétés
> Peut-on mettre dans le Cloud les applications et données critiques ?
> Les 10 commandements d’un bon contrat de Cloud computing
> 4 conseils pour améliorer la sécurité des données dans le Cloud