Souveraineté numérique : Quels enjeux pour les entreprises ?

De l’affaire Snowden à l’invalidation du Privacy Shield, en moins de 10 ans, la confiance en une infrastructure Cloud globale opérée par des acteurs internationaux, et particulièrement américains, s’est sérieusement érodée. La CNIL a opposé son véto à la gestion par Microsoft du Dossier Médical Partagé, Google Analytics est également dans son viseur, et l’agence autrichienne de protection des données a également conclu que l’usage de Google Analytics ne respectait pas le RGPD. La question de la souveraineté des données s’est invitée sur la feuille de route des DSI et DPO. Elle reste intrinsèquement liée à celle du choix du Cloud provider. Enjeux de la souveraineté des données, conséquences pour les entreprises, maturité du marché français et européen : on fait le point.

Un enjeu économique

Comment définir la souveraineté des données ? Cela signifie que les données d’une entreprise sont soumises aux lois du pays, et que l’entreprise est en capacité de les protéger d’inférences étrangères. On ne peut donc pas considérer la souveraineté des données sans la capacité de la garantir, or la souveraineté du Cloud est un des moyens de garantie. Une entreprise française peut ainsi faire le choix politique d’un Cloud provider français plutôt qu’américain, afin d’assurer la souveraineté de ses données.

Nous faisons face aujourd’hui à une double tendance : d’une part l’évolution de la législation qui va pousser les entreprises à chercher le moyen de garantir la souveraineté de leurs données, et d’autre part l’émergence d’une initiative de Cloud souverain européen, qui pourrait répondre aux enjeux de souveraineté de plateforme et de données. Dans ces conditions, comment se préparer et choisir l’option la plus pérenne, dans un contexte économique européen où il y a une volonté forte de reprendre la main sur le traitement des données ?

Un enjeu technologique

Investir dans le Cloud au niveau européen, c’est se positionner en tant que leader technologique. Le moment est peut-être venu de reprendre la main sur les sujets technologiques innovants, comme les processeurs ou le Cloud. L’initiative vise ainsi à proposer un écosystème de “Cloud Européen”, même si elle inclut des fournisseurs américains comme AWS ou Microsoft. Au-delà de la démarche de rassembler des acteurs, Gaia-X vise aussi à expliciter, à faire prendre conscience des enjeux de ce sujet.

Cependant à l’échelle française, la maturité des offres Cloud reste bien en deçà de la concurrence américaine ou chinoise. De fait, se lancer dans une démarche de souveraineté des données basée sur une offre Cloud française réduit le champ des possibles. Il manque aux Cloud providers français un effet de levier, ou de marché, qui leur permettrait de déclencher des investissements d’infrastructure propres à concurrencer l’offre américaine. Aujourd’hui, seule la Chine est capable aujourd’hui d’apporter autant d’investissement que les CSP américains, pour les concurrencer sur leur marché intérieur, car ils ont un volume suffisant et captif.

L’absence d’un cadre européen

Si l’initiative Gaia-X a le mérite de provoquer le débat et la réflexion, il manque encore un cadre structurant autour de la souveraineté à l’échelle européenne. La RGPD par exemple n’est pas appliquée partout, et pas déclinée de la même manière. Un cadre normatif européen devra aussi apporter un cadre d’interopérabilité, soit un format d’échange qui garantisse que toutes les données au sein de l’espace européen soient dans le contexte d’une souveraineté européenne. Avec un tel standard, les entreprises pourraient s’affranchir de Google Analytics par exemple, car elles auraient à disposition une solution équivalente, dont les investissements et les règles d’utilisation seraient communs à l’espace européen.

Quelles options pour une donnée souveraine européenne ?

Attendre le développement d’un hypothétique Cloud souverain européen, développer des solutions ad hoc, ou bien se limiter à des fournisseurs français, au risque de marquer le pas sur l’innovation ? Avant toute chose, la première étape est de mener un travail de classification des données et distinguer les données confidentielles parmi toutes celles opérées. Selon le volume, on pourra ensuite facilement opter pour une approche hybride, dans laquelle les données sensibles seront hébergées dans une bulle sécurisée et à la souveraineté garantie par différents mécanismes.

Perspectives à moyen terme

Si le marché du Cloud européen est aujourd’hui estimé à 53 milliards d’euros, il devrait atteindre 560 milliards d’ici 2030. Cette perspective de croissance soulève la question de la pérennité de ce marché, sur lequel s’opposent deux conceptions a priori contradictoires. D’une part, la réglementation américaine, très permissive sur les règles d’exploitation de la donnée, et d’autre part une culture européenne conservatrice, favorable à un encadrement strict de l’exploitation des données. De fait, on peut s’interroger sur la viabilité d’une offre de Cloud européen, quand la majeure partie du reste du monde s’affranchit de ces contraintes autour de l’exploitation de la donnée. Sans parler du risque industriel pour les entreprises qui feraient le choix d’un Cloud européen, et d’un rythme d’innovation loin du niveau de celui des hyperscalers américains. C’est toute la difficulté de lancer une offre de Cloud en partant d’une page blanche, sans un cas d’usage assez volumineux pour la soutenir.

Alors, une offre de Cloud souverain européenne est-elle une chimère ? En l’état actuel des choses, parier sur la réussite d’un tel écosystème est plus que risqué. Nous pensons au contraire qu’il faut s’appuyer dès maintenant sur la technologie pour maîtriser nos données dans un environnement Cloud externe. Aujourd’hui, le chiffrement et des mécanismes de sécurisation, voire l’IA, vont permettre de s’assurer que la donnée soit non exploitable, totalement sécurisée, affranchie des contraintes de l’infrastructure, et ce de façon native. Demain, ce seront peut-être les technologies quantiques, qui nous permettront non seulement de sécuriser nos données, mais aussi de compenser le retard technologique pris en Europe sur le sujet.


Cyber-résilience : protéger ses sauvegardes dans le cloud, l’ultime rempart

Aucun SI n’est infaillible et l’ingéniosité des cybers assaillants est redoutable. Les organisations font face à des cyberattaques de plus en plus intrusives, qui peuvent désormais viser les sauvegardes. Sécuriser ses sauvegardes de données reste donc la meilleure des protections. En stockant leurs sauvegardes de données dans le cloud, les entreprises acquièrent la certitude de retrouver des données saines et exploitables. L’enjeu ultime ? Pouvoir reprendre leur activité le plus rapidement possible en cas de cyberattaque.

« La cybersécurité est morte ! Vive la cyber-résilience ! »
Cloisonner son SI en limitant les droits aux bonnes personnes avec les bonnes autorisations est nécessaire, mais n’est plus suffisant. Il faut désormais accepter les risques pour mieux agir. Autrement dit, faire preuve de cyber-résilience. L’ampleur des menaces est telle qu’il ne s’agit plus seulement d’empêcher les cyberattaques, mais bien de s’y préparer en mettant en place un plan de contre-mesures à déployer le cas échéant.

« Définir un PRA (Plan de reprise d’activité) fait partie de la cyber-résilience ». Le PRA n’est d’ailleurs pas un document IT à proprement parler, c’est un document de gouvernance de l’entreprise. » Objectif : mettre en place toutes les mesures nécessaires à une reprise d’activité lorsqu’une cyberattaque surviendra.

Intégrer la sauvegarde de données dans la stratégie de sécurité des entreprises
Les cyberattaques ne visent plus uniquement le stockage primaire et les systèmes opérationnels, mais s’étendent désormais aux sauvegardes. Le nombre d’entreprises ayant pris des mesures pour endiguer ce nouveau danger est encore faible. Les sauvegardes de données constituent un élément à part entière de la stratégie de sécurité des entreprises.

Sauvegarder ses données en local, une fausse bonne idée ? « Les entreprises qui utilisent un système de sauvegarde de données sur site prennent le risque de voir leurs sauvegardes contaminées en cas de cyberattaque. Dans ce genre de cas, toutes les données ne sont pas forcément restaurables, certaines sauvegardes ne sont pas saines, et les équipes doivent passer du temps pour savoir quelles sauvegardes sont bonnes. Cela représente beaucoup trop de temps. », poursuit Aurélien OLIVIER.

Sauvegarder ses données dans le cloud pour accélérer la reprise d’activité
Comment mettre alors ses données en sécurité ? En stockant une copie de ses sauvegardes quotidiennes à un endroit tiers sécurisé. La sauvegarde de données hors site, dans un cloud comme Microsoft Azure, avec un protocole différent et un système de sauvegarde inaltérable, est une solution. Objectif : pouvoir utiliser la copie de ses données en cas d’attaque et disposer ainsi de sauvegardes 100 % saines.

Cette solution cloud offre une grande agilité et présente l’avantage de réduire le temps de vérification des données et donc de reprise d’activité. « L’environnement de stockage du cloud Azure utilise un protocole différent. Cela crée une barrière difficilement franchissable en cas de cyberattaque ». Les clients s’assurent ainsi que leurs sauvegardes sont saines et qu’elles ne sont pas corrompues. Sauvegarder ses données en cloud permet d’avoir une restauration de données et une reprise d’activité beaucoup plus rapides, même si le temps de restauration est propre à la volumétrie de données et au débit disponible chez le client.

Mettre en place des sauvegardes de données dans le cloud : mode d’emploi
Un projet de mise en place de sauvegardes en cloud nécessite d’abord une étape d’analyses préalables, qui consiste à étudier les données et la solution de stockage existante. Les entreprises qui s’engagent dans un projet de sauvegarde de leurs données en cloud doivent également mener un travail de classification de ces données en fonction de leur degré critique.

Place ensuite à la construction de la solution, avec quelques jours d’implantation et de tests. Il est d’ailleurs plus facile d’aller tester ses sauvegardes dans le cloud, dans un environnement isolé. Les tests n’ont pas d’impact sur la production. Un premier envoi de données a lieu et il faut ensuite valider une première restauration de données. Un transfert de compétences est également prévu. « La plupart des projets peuvent être déployés en 2 ou 3 jours. » Après avoir externalisé leurs sauvegardes de données dans le cloud Azure, les entreprises doivent également revoir leurs process, faire des tests régulièrement, intégrer les sauvegardes des nouvelles applications…

À vos sauvegardes ! Les menaces cyber augmentent mais des solutions comme les sauvegardes en cloud permettent de les affronter, encore faut-il affecter une partie de son budget sécurité à la question des sauvegardes. Pour les entreprises, entre le stockage des données sur site ou dans le cloud Azure, le choix est vite fait, quand on sait qu’une journée d’interruption d’activité peut se chiffrer en plusieurs centaines de milliers d’euros pour certaines entreprises.

Ne laissez pas vos données devenir le nouveau terrain de jeu des cybercriminels.


Étendre ses environnements de virtualisation locaux vers le cloud : pourquoi, comment ?

Offrant davantage de disponibilité et d’agilité, l’hybridation permet d’étendre les environnements de virtualisation locaux vers le cloud, répondant ainsi aux problématiques IT actuelles de sécurité, de transformation, voire de coût. Pourquoi et comment virtualisation et hybridation font-elles bon ménage ? Passage en revue des principaux cas d’usage. 

« Faire plus avec moins » : les avantages de la virtualisation
En permettant de densifier les ressources informatiques sur du matériel existant, la virtualisation répond au moins en partie à deux situations pour le moins contradictoires dans l’entreprise, à savoir l’accroissement des besoins en ressources informatiques, et la stagnation voire la réduction de leurs budgets SI. Autant d’éléments qui les poussent à devoir « faire plus avec moins ». C’est la raison pour laquelle aujourd’hui une grande majorité d’entreprises a d’ores et déjà opté pour les technologies de virtualisation autant que possible.

Avec l’hybridation, il est possible de déployer dans le cloud un environnement de virtualisation identique à celui qui est opéré dans le datacenter du client. Cela permet de déplacer facilement les ressources du datacenter local vers le cloud, en utilisant les mécanismes intégrés aux services de l’hyperviseur, sans transformation de l’enveloppe de la machine virtuelle lors du basculement.

Mais pourquoi vouloir déplacer ses environnements virtualisés dans le Cloud ? 3 grands cas d’usage (qui peuvent d’ailleurs se combiner) se rencontrent généralement dans les organisations.

Cas d’usage n°1 : le besoin de déplacer son datacenter
Pour différentes raisons, une entreprise peut être amenée à devoir déplacer son datacenter : pour réallouer un site d’hébergement, parce que le contrat arrive à échéance, un changement de stratégie, un différend avec l’hébergeur… Ce déplacement, parfois contraint, peut amener un questionnement nouveau chez le client : est-il encore pertinent d’acheter et d’héberger ses propres serveurs ? Ce genre de déplacement peut être compliqué à opérer. À ce moment-là, le client peut décider qu’acheter et héberger ses propres serveurs ne l’intéresse plus, sans pour autant avoir le temps de tout transformer vers des services cloud natif.

L’hybridation de son datacenter est alors une bonne option, puisqu’elle permet de déplacer les ressources sur un hyperviseur identique à celui du client, mais géré par le fournisseur de cloud. Le déploiement s’opère facilement et en quelques heures, sans investissement.

Cas d’usage n°2 : mettre en place une stratégie de transformation
L’entreprise engage une stratégie de transformation et entend passer ses VM en services cloud natif. C’est un processus qui demeure complexe. Il fait notamment intervenir des développeurs et consultants dédiés à la refonte des applications afin de les rendre compatibles avec le fournisseur de cloud sélectionné. Et, dans le cas d’applications anciennes, l’effort de transformation vers un environnement Cloud public peut parfois être impossible.

Dans ce genre de cas, la mécanique d’hybridation peut être utilisée pour résoudre une partie des problématiques liées aux dettes applicatives mais aussi aux problématiques de dépendances entre les couches d’applications qui peuvent surgir dans un tel cas de figure. Comment ? En déplaçant les couches de données ou de serveurs d’applications sur un environnement identique à ce qui existe en local, mais localisé chez le cloud provider. La liaison entre l’hyperviseur hébergé dans le Cloud et les services Cloud natif étant directe, les avantages sont immédiats : haute performance et sécurisation intégrée pour ne citer qu’eux.

La méthode permet aussi d’aller vite sur les sujets les plus simples et les plus bénéfiques à la stratégie de l’entreprise, tout en prenant le temps d’optimiser l’application sur ses couches les plus complexes à transformer.

Cas d’usage n°3 : préparer la reprise ou la continuité d’activité (PRA/PCA)
Un autre cas d’usage courant se rencontre lors de l’établissement d’un plan de reprise (ou de continuité) d’activité dans les règles de l’art. Or, disposer d’un second site physique d’hébergement, éloigné du premier, n’est pas toujours envisageable.

Dans ce cas de figure, le Cloud se prête bien à l’exercice en se montrant en outre peu coûteux puisqu’il suffit d’y préparer un environnement minimum, de deux à trois nœuds dédiés à la configuration réseau et stockage notamment, destinés à être répliqué à la volée en mode production, en cas d’incidents. Dans l’heure ou les deux heures qui suivent, le redémarrage des services critiques et le provisionnement des ressources utiles est facilité.

Cela dit, le choix d’un environnement virtuel dans le Cloud à destination d’un PRA/PCA est aussi pleinement valable dans le cadre d’opérations de maintenance, qui nécessiteraient par exemple une coupure d’électricité de longue durée.

L’importance d’un accompagnement FinOps
Comment s’assurer que le projet d’hybridation soit viable ? MV Digital préconise toujours d’intégrer une approche FinOps dans les déploiements cloud, dès les phases d’études. Le cloud présente l’avantage de payer à l’utilisation, mais encore faut-il comprendre dans le détail comment fonctionne la tarification et identifier les coûts. La démarche FinOps est une approche globale qui commence dès le début du projet pour bien définir l’architecture dont a besoin le client, mesurer les besoins, collecter les inducteurs de coûts et les analyser, tout en anticipant les projets.

Dans le cadre de son offre de FinOps autour du cloud, MV Digital apporte une ingénierie financière aux entreprises pour les aider à piloter les flux financiers liés à l’utilisation des environnements cloud. Objectif : aider les clients à optimiser leur consommation et maîtriser leur budget. Le cloud offre de réelles possibilités d’optimisation budgétaire, autant en profiter.

Les infrastructures se transforment, les équipes SI aussi
Et les équipes SI, dans tout ça ? Plutôt réfractaires quand il s’agit de transformer une infrastructure ou optimistes à l’idée de développer de nouvelles compétences ? La vérité est sûrement un mélange des deux. L’ensemble de la culture SI est appelée à se transformer, et le cloud hybride peut se révéler structurant d’un point de vue managérial.

Concrètement, il s’agit de changer certains modes opératoires pour passer d’une équipe informatique en silos à une organisation plus agile. Certaines tâches auparavant effectuées par les équipes vont ensuite être prises en charge pour le fournisseur de cloud. L’avantage pour les managers est de permettre à leurs équipes de se concentrer sur des tâches et des opérations à plus forte valeur ajoutée (piloter la consommation, par exemple), tout en permettant à d’autres de continuer à travailler sur une infrastructure qu’ils maîtrisent bien.

Si l’hybridation du datacenter est attractive à plus d’un titre, elle n’en reste pas moins un sujet complexe à maîtriser, souvent liée aux besoins métiers. MV Digital accompagne les organisations dans leurs projets d’hybridation avec comme objectif la transformation rapide, fiable et sécurisée de leurs infrastructures.