Après des années de tâtonnements, une forme de structuration du marché ? Depuis le début des années 2010 - et les révélations d'Edward Snowden -, les décideurs au sein d'organisations tant publiques que privées cherchent à mettre en oeuvre des architectures cloud échappant aux législations extraterritoriales américaines. Malgré les subventions publiques, malgré la naissance de prestataires locaux, l'offre a longtemps accusée un retard important face à l'étendue du portefeuille de services des acteurs américains, sans forcément proposer le niveau de sécurité attendu par les DSI issus des secteurs les plus exigeants en la matière. Les lignes sont toutefois en train de bouger, avec l'apparition des autoproclamés cloud de confiance (S3ns et Bleu). Des offres bâties sur les technologies des géants du cloud américains, comme Azure ou GCP, mais hébergées au sein de structures hexagonales, contrôlées par de grands groupes d'origine française (comme Capgemini, Orange ou Thales). De son côté, le très exigeant label SecNumCloud de l'Anssi permet d'identifier des services présentant des garanties tant du point de vue technique, qu'opérationnel ou juridique.
Sur ce marché encore naissant, nous avons interrogé deux organisations françaises qui ont démarré l'intégration de ces offres dans leur paysage IT. D'abord, Sébastien Marie, le CTO de la Matmut, explique pourquoi la mutuelle se tourne vers les Contrôles locaux, la première brique de service de S3ns, le cloud que bâtit Thales sur les technologies GCP. « Dans le cadre de la refonte de notre système d'information, l'écosystème data était bien entendu un enjeu majeur, dit le CTO. Il nous a fallu concilier les besoins pointus et diversifiés de nos Data Scientists avec des contraintes d'industrialisation et d'exploitation de la production informatique. » Ni la reconstruction d'un écosystème Data Science on-premise, ni le recours à un hyperscaler ne répondent alors totalement au cahier des charges de la Matmut, pour des raisons différentes. D'où l'intérêt pour l'offre de S3ns, avec lequel la mutuelle initie des discussions dès juin 2022.
« S3ns est une société de droit français, filiale de Thalès, ce qui change beaucoup de choses », pointe Sébastien Marie. Par ailleurs, via le contrôle des clefs de chiffrement, même si les données sont hébergées pour l'heure dans les datacenters de Google en région parisienne, elles ne sont accessibles qu'aux administrateurs de S3ns et de la Matmut. « Le déploiement des Contrôles locaux est une étape pour nous, indique le CTO. La cible, c'est bien l'hébergement dans les datacenters de S3ns, une fois l'obtention du label SecNumCloud. »
Les préoccupations de la direction générale
C'est aussi vers un prestataire dont certains services sont déjà labellisés par l'Anssi que s'est tourné Apave. Ce groupe de 13 000 personnes, spécialisé dans la maîtrise des risques, s'est lancé dans un programme de rationalisation de son SI, ramenant le nombre de VM de 2000 à 700, et a initié un virage vers le cloud, afin de démanteler ses 8 datacenters. « Pour des questions de souveraineté, nous nous sommes orientés vers un acteur local, CloudTemple. Dans mes échanges avec le comité exécutif, mais également avec le conseil d'administration, la question de la localisation des données et celle de la sécurité des accès à l'information étaient deux problématiques prégnantes, indique son DSI, Sacha Lukic. Aller vers un cloud de confiance constitue une façon de s'affranchir des prestataires américains. »
Sacha Lukic, le DSI du groupe Apave : « migrer vers des environnements SecNumCloud ne peut pas se faire en un claquement de doigts ». (crédit : IT News Info)
Dans le choix de son prestataire, Apave privilégie également un acteur proposant un modèle opérationnel aligné avec son niveau de maturité du moment. Objectif, selon les mots de Sacha Lukic : « grandir ensemble », afin de s'orienter progressivement vers un modèle Infrastructure as-code. « Nous sommes aujourd'hui en train de terminer le calage du modèle opérationnel et étudions la migration vers les environnements SecNumCloud de CloudTemple (dans un premier temps, Apave a effectué sa migration vers des environnements non labellisés, NDLR). Nous y travaillons, même si cela ne peut pas se faire en un claquement de doigts », indique le DSI.
En parallèle, pour héberger les rapports de ses inspecteurs, Apave a déployé un datalake sur Microsoft Azure. Le groupe travaille donc sur un système hybride, associant cloud de confiance et cloud public. « Avec des échanges synchrones fortement sécurisés entre les deux. Comme la donnée circule largement dans des cloud différents, le volet sécurité a été regardé de très près », indique Sacha Lukic. Qui a par ailleurs structuré la gouvernance et travaillé à la classification de la donnée, « pour mettre en place des systèmes d'étanchéisation entre le cloud de confiance et le cloud public ».
Visionnez l'émission des rédactions du Monde Informatique et de CIO avec les témoignages de la Matmut et d'Apave (vidéo, 31 min.)
Commentaire