Le cloud souverain au coeur des enjeux de migrations de données
Publié par Mathieu Neu le | Mis à jour le
Face à des menaces de différentes natures, le recours à une offre de cloud souverain est de plus en plus envisagé en France. Une évolution qui demande de la méthode et une approche qui va au-delà des considérations purement technologiques.
En septembre 2022, le gouvernement français a réaffirmé son ambition de souveraineté du cloud français en annonçant la création du Comité Stratégique de Filière (CSF). Basé sur le " numérique de confiance ", il doit permettre aux représentants des filières technologiques françaises de pouvoir mieux s'exprimer, faire valoir leur expérience et leur vision. Des nouveautés de bon augure pour les acteurs du cloud français et la souveraineté numérique qui peinent à s'imposer, alors que les cybermenaces et l'insécurité font souffrir de plus en plus d'organisations dans l'Hexagone.
Selon une étude réalisée en 2022 par Poll & roll pour Jamespot, si neuf décisionnaires IT sur dix ont déjà entendu parler de souveraineté numérique, seule la moitié sait réellement ce dont il s'agit. Autre chiffre qui témoigne d'une méconnaissance persistante : seulement un tiers de ces décisionnaires pense qu'il s'agit d'un sujet primordial. L'importance accordée à ce sujet augmente lorsque cette notion devient plus familière.
Une sensibilisation toujours inachevée
Les grands groupes sont, sans surprise, les acteurs ayant le plus de maturité sur ce plan. " 88 % des entreprises du CAC40 utilisent aujourd'hui des clouds de confiance ", souligne Sylvain Lefeuvre, Head of Global Sales chez Oodrive. " On prend de plus en plus conscience de ce qu'est une information sensible, critique, même si certaines entreprises ne classifient toujours pas leurs données."
Dans le gouvernement actuel, la notion de cybersécurité a été rattachée au ministère de l'économie, plutôt qu'au portefeuille de la défense. " C'est la preuve que nous avons intégré, sur un plan politique, qu'il s'agit de faire face à une guerre économique. Le paradigme a changé ", ajoute-t-il.
La notion de sensibilité elle-même est en pleine évolution. Le spécialiste du conseil IT Gartner estime qu'à partir de 2025, une donnée sur deux sera sensible. Certaines informations deviennent sensibles, car des cybercriminels rendent pertinentes l'exploitation de données a priori anodines par recoupement, en les complétant par exemple. La notion de profondeur de données devient ainsi de plus importante pour les cyberattaquants. Avec le big data, des données éparses peuvent être recueillies pour être agrégées dans le but d'identifier des informations sensibles. « Le vol de certaines données de distribution d'eau d'une commune n'est pas forcément très grave. Mais si on parvient à reconstituer le fonctionnement global du réseau, le caractère crucial ou non de l'information change, et des dommages importants peuvent en découler », explique Sylvain Lefeuvre.
Le recours aux offres de cloud souverain croît avec les attaques qui se démultiplient à grande vitesse, « notamment en raison de la valeur marchande élevée de certaines données : les dossiers patients sont une formidable opportunité pour mener des études à très grande échelle selon des critères de typologie de maladies, d'habitudes quotidiennes », illustre-t-il.
Quel arbitrage pour mes données ?
Les premiers pas sur le cloud ne conviennent pas forcément, à tel point que certaines entreprises quittent le cloud pour revenir à un hébergement on-premise. " Cette évolution n'est pas la règle bien sûr, mais elle n'est pas si rare non plus. On trouve parmi les cas de figure des acteurs publics, des acteurs de l'énergie, de la défense, de l'aviation. Lorsqu'on est un OIV (Opérateurs d'Importance Vitale) ou un OSE (Opérateur de Services Essentiels), deux statuts d'entreprises exerçant des activités stratégiques, cette question de quitter son fournisseur cloud est de plus en plus posée. Le paramètre des coûts a également sa part d'influence puisque les prestataires américains du cloud qui sont très présents sur le marché français ont considérablement augmenté leurs prix depuis 18 mois."
Le schéma le plus classique consiste toutefois à scinder les systèmes d'information, en faisant un tri entre les données sensibles à héberger auprès d'un cloud souverain et celles pour qui une autre solution est acceptable. Mais encore faut-il être au clair sur ce qu'est réellement une donnée sensible.
Le groupe Apave, spécialiste de la maîtrise des risques techniques, humains et environnementaux, s'est récemment tourné vers le fournisseur français Cloud Temple pour l'évolution de son système d'information. " Il s'agissait pour nous de garder la main sur ce plan, aux côtés d'un acteur de confiance, tout en profitant de garanties importantes en matière de localisation des données et de non-accessibilité. Il y avait un tri à faire entre les données qui relèvent de la souveraineté et celles qui relèvent plutôt de la commodité. Pour gérer au mieux la question de l'arbitrage dans ce domaine, nous avons mis en place une gouvernance de la donnée, où la DSI joue un rôle de conseil. Une modélisation des données, conduite notamment par la maîtrise d'ouvrage, a également été déterminante pour garantir une migration véritablement efficace ", indique Sacha Lukic, directeur des cycles d'information au sein de l'Apave.
Pour Sébastien Lescop, directeur général de Cloud Temple, " la méthodologie pour migrer vers un cloud souverain consiste à réfléchir par briques applicatives, afin d'identifier les implications qui entourent les services cloud à consommer. Par exemple, entre un SIRH et un autre outil, le degré de sensibilité n'est pas le même. "
Sylvain Lefeuvre estime qu'il faut savoir pourquoi exactement on veut se tourner vers un cloud souverain : " est-ce en raison d'attaques subies, de données collectées par des acteurs américains ? La classification qui en découle ne se fera pas de la même manière. Certaines approches fréquentes consistent à créer des catégories en fonction des utilisateurs. Toute l'activité Finance ou toute l'activité R & D se retrouve alors dans le cloud. Le volet Commerce, notamment par la partie contractuelle impliquant des signatures électroniques, est souvent pertinent à placer dans un cloud souverain, tout comme les échanges relatifs aux réunions stratégiques. "