La donnée est un bien stratégique, dont il est nécessaire d’assurer la protection et la sécurisation

Territorialité, extaterritorialité… Face aux offres attractives des hyperscalers, il est plus que temps de repenser les stratégies cloud au regard des règles que toute entreprise européenne se doit de respecter.

Le plus souvent, aujourd’hui, le choix d’une solution cloud résulte d’un arbitrage financier. En apparence moins cher, le cloud public est privilégié. Or, il peut s’avérer être plus cher, parfois même bien plus cher.

Tout est une question de degré de consommation, explique Claude Willems, Head of Infrastructure & Cloud Services, Win. Si la consommation du cloud public est faible, et que les applications peuvent libérer davantage de ressources, le cloud public peut être, de fait, plus avantageux vu les modèles de prix liés à la volatilité de la consommation, en revanche, en cas de consommation intensive, permanente, le choix de l’IT « interne » peut s’avérer moins onéreux.

« Les entreprises ne doivent pas envisager les offres de cloud public uniquement comme un moyen de réduire leurs coûts de fonctionnement, comme cela peut être le cas avec des solutions d’outsourcing traditionnelles. Une réelle analyse approfondie des coûts s’impose. Mais aussi, et on l’oublie, une analyse des risques… » 

Une mauvaise évaluation des ressources nécessaires

De plus, bien que le cloud public soit généralement moins cher à court terme, ou encore pour des usages très ponctuels, les coûts peuvent s’accumuler avec le temps, surtout si les entreprises ont besoin d’une grande quantité de stockage, de puissance de calcul ou de bande passante.

De la même façon, par excès de prévoyance, et par manque de conseils, il arrive que les organisations optent pour la formule d’accessibilité des données la plus onéreuse, par simplicité, alors qu’elles n’en ont pas besoin. Autre biais : surestimer les ressources nécessaires aux collaborateurs -mémoire, puissance, espace… Si bien que des ressources se retrouvent sous-utilisées, voire totalement inutiles. « Et pendant ce temps, les fournisseurs continuent de facturer la totalité des ressources souscrites, constate Claude Willems. De là, un véritable gaspillage budgétaire. »

Dès le départ, il est important de se prémunir contre les évolutions tarifaires. En effet, le développement du cloud se caractérise par l’explosion des usages à tous les niveaux de l’entreprise (avec pour corollaire une perte de contrôle sur les activités (shadow IT), l’enrichissement des produits, la multiplication des « metrics » et une complexification des politiques de prix.

Qui plus est, il est difficile de calculer le prix de son infrastructure avec les centaines de services proposées par les fournisseurs. Il faut en effet prendre en compte le type de facturation (à l’heure, au nombre d’exécution, abonnement mensuel, prix variables…), la différence de tarif entre régions (certains services sont particulièrement onéreux ou ne sont tout bonnement pas disponibles dans une région), la bande passante, le coût du support…

CLOUD Act, encore trop souvent sous-estimé

« Il faut que chacun, en fonction de son activité, puisse se positionner sur le rapport fiabilité-coût-sécurité adéquat à son business : un vrai travail d’équilibriste ! » Mais, pour Claude Willems, le premier risque à envisager est le manque de contrôle sur la protection des données sensibles. Et de viser le CLOUD Act (Clarifying Lawful Overseas Use of Data Act).

Cette loi américaine, portant sur la surveillance des données personnelles, permet à l’administration américaine de contraindre les fournisseurs de services américains, par mandat ou assignation, à transmettre les données demandées, que celles-ci soient stockées sur des serveurs aux États-Unis ou dans des pays étrangers.

C’est ici que la balance entre territorialité et extraterritorialité penchera. A condition d’en tenir compte, bien sûr. « Accepter ou refuser les risques d’extraterritorialité des données relève d’un choix, estime Claude Willems. C’est évaluer sa capacité à travailler et à gérer sur le long cours en fonction du ou des pays où l’on opère, de la criticité des données, des potentiels risques pour la continuité des affaires… »

Pas de garantie solide des hyperscalers

De toute évidence, avec le CLOUD Act, la confidentialité des données stockées chez des prestataires américains n’est pas une garantie solide, pas même quand ceux-ci, à l’instar de certains hyperscalers, décident d’implanter des centres de données en Belgique, ou d’invoquer le fait que les données sont encryptées dans leurs systèmes. « Ils restent américains, donc sous le coup des lois extraterritoriales. Pratiquement, s’il y a demande des autorités US, ils seront amenés à transmettre des données sans informer leurs propriétaires, qu’ils soient des personnes physiques ou morales… »

C’est là, trop souvent encore, un risque sous-estimé. « Quand on sait que des données de secteurs sensibles comme l’industrie, la défense, voire la santé sont de plus en plus souvent stockées en ligne, on conclut aisément que le CLOUD Act est un outil qui ne sert pas à protéger les industries sensibles, à tout le moins les nôtres ! »

Pour Claude Willems, le concept de souveraineté nationale devrait, en conséquence, être complété avec celui de souveraineté numérique qui peut être définie comme le fait pour un Etat de détenir la pleine gouvernance de ses données et de ne dépendre économiquement, technologiquement et juridiquement d’aucun autre Etat ni entreprise pour la captation, la protection et l’exploitation des données produites sur son territoire. Mais on en est loin, d’autant qu’il faudrait un consensus au niveau planétaire pour permettre aux états de se protéger tout en restant concurrentiels les uns par rapport aux autres, en garantissant un libre échange des données d’utilité publique.

Une question de champ d’action

A l’analyse, et si l’on revient à une réflexion raisonnée à l’échelle de nos entreprises et PME locales, mutualiser les ressources informatiques hardware/logicielles entre de multiples entreprises, comme le font les clouds « locaux » -respectant les lois nationales et européennes- reste une optimisation intéressante pour les entreprises sur plusieurs plans.

D’abord, mutualiser des ressources très onéreuses (serveurs de consolidation, SAN, backup on-premise/immuable, …) afin de permettre l’accès à des ressources professionnelles, performantes, à un tarif acceptable que ne pourraient pas se permettre des entreprises de taille moyenne si elles devaient investir par elles-mêmes dans de pareilles technologies.

Ensuite, optimiser l’utilisation des compétences informatiques rares nécessaires aux opérations de ces environnements…

Peut-on tout stocker dans sur un support partagé dans le cloud ?

Il ne s’agit pas d’exclure des solutions des hyperscalers, mais de parfaitement en définir le champ d’action. Et donc établir un recensement des risques à couvrir et d’établir des règles de gouvernance en matière de la gestion des données.

Cette analyse ne peut se faire de façon macroscopique. Il s’agit de descendre aux niveaux des ilots de données et des applications. Ce faisant, on déterminera quelles données et traitements ont vocation à rester « on premise », ceux qui sont candidats à un cloud local et ceux qui peuvent sans risque rejoindre un cloud public.

Il conviendra également d’approcher avec prudence les technologies tendances actuellement, comme l’IA générative par exemple, et de bien vérifier le contexte d’utilisation et le contrat que l’on noue avec un prestataire offrant ce type de service. En effet, il peut s’avérer qu’utiliser ce type de technologie induise la perte de propriété des données mise à disposition de l’IA dans le cadre d’un traitement  -un risque important pour les entreprises.

Pour certaines organisations, le volet collaboratif peut représenter une part importante de la migration vers un cloud offrant des outils attrayant, facilitant les échanges intersociétés, …. « Peut-on tout stocker dans Office 365, Google Drive, etc. ? Peut-on tout partager via Teams, Zoom et autres ? Quid, toujours dans ces environnements, de la protection des données, des sauvegardes ? Trop souvent, ces simples questions sont négligées. Or, aucun acteur n’est à l’abri de pertes de données, aussi imposant et réputé soit-il… »

Territorialité : le cloud local a de l’avenir !

Dans ce contexte, il s’agit aussi de tenir compte des directives et règlements européens, comme le GDPR, NIS2, DORA ou l’AI Act… qui rendent la gestion d’une informatique d’entreprise de plus en plus complexe et de plus en plus difficile à maîtriser tant il faut jongler entre complexité technique, respect des lois, mise en conformité de la gouvernance d’entreprise, mais aussi respect des normes de sécurité.

Bref, un véritable cauchemar pour toute entreprise. « C’est là où, à mon sens, les cloud providers locaux montreront tout leur intérêt », estime encore Claude Willems. De fait, ils ont à garantir le respect des régulations, mais aussi à continuer à investir dans des plateformes mutualisées afin de faire bénéficier les entreprises des rendements d’échelle sur les infrastructures.

De par la nature de leur activité, ils doivent également prendre en charge le respect des lois en matière de sécurité, telles que NIS2. « C’est pourquoi, j’en suis persuadé, le cloud local ou territorial, respectant les directives européennes et nationales, préservant le cœur de métier de nos fleurons industriel, a de l’avenir. »

A méditer, je n’ai pas envie de jouer les alarmistes, mais pour avoir été confronté à la chose dans une vie antérieure avec des agences de renseignement dans un secteur industriel discret mais hyper convoité, il est peut-être utile de rappeler que les protections sont faites pour ralentir, rendre l’accès difficile, mais que les puissances de calculs croissantes dont disposent les superpuissance nous rendent bien vulnérable à leur attaques…

Le volet collaboratif est justement la voie ouverte au cloud public des hyperscaler; on est plus vraiment dans le cloud de confiance territorial