7 Bonnes raisons pour passer au cloud régional !
Il exprimait en creux le souhait des grandes entreprises du CAC 40 et plus globalement celui des 120 sociétés de bourses françaises qui souhaitent mettre à l’abri leurs données sensibles.
Face au GAFAM qui sont sous le régime du Cloud Act américain, d’autres grands opérateurs français se présentent comme l’alternative unique, alors qu’ils furent déjà pour certains à l’origine d’une tentative de Cloud souverain initié en 2009 qui se solda par un échec retentissant.
Aujourd’hui, avec la dynamique et l’émulation des régions autour des questions du numérique, les acteurs de l’hébergement local ont de grands atouts pour répondre à cette demande de confiance et de compétence. Ils apportent en complément des notions de service et de proximité humaine et sont nettement orientés vers des pratiques responsables et durables.
Il est sans doute grand temps d’étudier cet autre modèle alternatif.
1/ Sécurité, visibilité et accès aux données physiques
Le fait de les perdre accidentellement peut mettre en péril l’avenir d’une société. On ne rappellera pas les statistiques plus ou moins farfelues à ce sujet, mais le danger, lui, est bien réel.
Par ailleurs, à l’heure du RGPD* la confidentialité, la localisation et l’accès aux données personnelles sont aussi prépondérantes et cruciales.
Récemment encore, un nouveau scandale l’a illustré, l’affaire Facebook-Cambridge Analytica.
En effet, les données de 87 millions d’utilisateurs Facebook ont fuité, des informations collectées pour certaines depuis 2014.
Ces données personnelles ont donc bien été siphonnées via une application (ThisIsYourDigitalLife) afin d’influencer le vote de dizaine de milliers d’internautes en faveur d’hommes politiques, qui avaient justement contracté les services de Cambridge Analytica (tiens tiens…).
Cette société, spécialisée dans l’analyse de data à grande échelle, avait d’ailleurs une promesse adéquate « changer le comportement grâce aux données ».
Plus récemment en 2019, des pannes sont venues impactées sévèrement les GAFAM*.
D’abord Google avec des dommages physiques sur certaines données et l’impossibilité de joindre son API.
Puis, en mai, Azure (Microsoft) a rencontré des problèmes de DNS rendant indisponibles certains services.
En Juillet, ce fut le tour d’Apple avec des soucis de routage, nous vous épargnerons là le terme technique concerné…
Enfin, en Août, Amazon a subi une panne électrique sévère rendant près de 7 % de ses instances EC2 et volumes EBS indisponibles (hein c’est quoi ça?, euh… outil de pilotage de virtualisation et service de stockage ) avec à l’issue des données irrécupérables.
Comme le précisait Guillaume Poupard, directeur général de l’ANSSI* dans le rapport annuel 2018 de l’organisme, « Il est temps de considérer le risque numérique comme un risque à part entière pour l’entreprise. »
Le risque zéro n’existe donc pas.
Cependant, l’externalisation reste aujourd’hui un levier important pour mettre à l’abri ses données, mais pas de n’importe quelle manière.
Face aux risques potentiels ou connus, l’hébergeur local proposera un service de sauvegarde adapté aux besoins et très souvent redondé sur un site distant.
Il proposera des plans de continuité ou reprise d’activité si le besoin devient critique.
Son support pro-actif 24h/365j sera en mesure d’anticiper les incidents et répondre dans des délais très courts aux premières demandes urgentes de ses clients.
Le client aura par ailleurs la possibilité de visiter le Datacenter où sont stockées ses données.
Ainsi, il s’assurera sans ambiguïté de leur localisation et se rendra compte que le cloud n’est parfois pas si impalpable que cela, puisque tout proche physiquement de son entreprise.
A cette occasion, il se rendra visuellement compte de toutes les mesures de sécurité mises en œuvre pour limiter l’accès aux salles de serveurs ou pour gérer les incidents qui pourraient survenir.
Pour aller plus encore dans la gestion du risque, l’hébergeur régional peut le cas échéant, mettre en place des tunnels VPN pour assurer la confidentialité des données transmises entre les différents sites de l’entreprise ou de l’entreprise au Datacenter. C’est alors toute la chaîne d’exploitation des données qui est sécurisée, de l’utilisation et du transport au stockage.
2/ Confidentialité des données d’un point de vue juridique
Ce texte sécuritaire, vise à faciliter l’accès aux données stockées dans des Datacenters appartenant à des sociétés d’origine américaine.
Là où cela se complique c’est que peu importe que ce soit en France, en Europe ou aux États-Unis…dès lors que ces données sont chez ces hébergeurs le texte s’applique.
Là où cela prend une autre dimension, c’est qu’une agence administrative américaine peut ainsi avoir accès à des données d’une entreprise française hébergée chez un opérateur américain sans que l’entreprise française ne soit même informée de cette action.
Ce qui est sous-jacent c’est que la justice américaine pourrait utiliser indirectement ce droit comme un moyen pour servir les intérêts nationaux.
Aujourd’hui l’Amérique, mais demain la Chine, pourquoi pas, via les services Cloud d’un Alibaba, autre acteur mondial du commerce et du numérique.
Le Géant Chinois Huawei, à tort ou à raison, n’a t-il pas été écarté de plusieurs pays au sujet de l’attribution de la 5G pour soupçons d’espionnage ? Protectionnisme et guerre économique étant souvent liés, il est parfois difficile d’y voir clair.
Dès lors, le sujet de bâtir un abri Français voire Européen pour les données sensibles des entreprises (contrats commerciaux, R&D …) refait surface.
Comme le précise le journal Les Échos, « le gouvernement français craint que les secrets des fleurons français puissent être connus de leurs concurrents mondiaux s’ils sont hébergés par des technologies étrangères ».
Ce qui fait dire à notre ministre Bruno Le Maire début octobre lors d’un discours dans les locaux de Criteo « Nous voulons bâtir ce cloud de confiance à partir de 2020 ».
Le ministre précise que ce cloud de confiance doit permettre le stockage des données stratégiques ou sensibles en toute indépendance avec les garanties de sécurité nécessaires. Il annonce également que les entreprises Dassault Systèmes et OVH sont sollicitées pour élaborer ce projet.
Ni une, ni deux, le 17 octobre 2019, le Cigref* a adressé un courrier à Monsieur Bruno Le Maire, Ministre de l’économie et des finances, afin de proposer à l’État d’associer les grandes entreprises françaises utilisatrices de services numériques, à sa stratégie de développement d’une offre de Cloud de confiance.
Y aurait-il enfin convergence des besoins des grandes entreprises, des administrations, des collectivités ?
Les besoins sont-ils les mêmes concernant la multitude d’autres acteurs économiques de nos territoires ?
Compte tenu des échecs pour ne pas dire fiascos précédents concernant le Cloud souverain Andromède lancé en 2011 avec Cloudwatt et Numergy, on peut légitimement s’interroger sur la réussite de cette nouvelle démarche.
Pour être prudent, il ne faudrait pas mettre tous ses œufs dans le même panier et ne pas renouveler les mêmes échecs avec de nouveaux opérateurs pré-sélectionnés.
Un Cloud de confiance régional existe déjà.
Le Cloud de confiance existe déjà régionalement et de nombreux acteurs locaux en témoignent en assurant la sécurité et la proximité des données pour des milliers de clients.
Dès lors, les données sont bien localisées en France, chez un opérateur français indépendant, soumis à la réglementation française, trois conditions enfin réunies pour assurer la confidentialité juridique des données.
3/ Un cloud de confiance régional soutenable
C’est ce que nomme la revue The Conversation « le cloud de confiance régional soutenable » dans son article sur ce sujet « Pourquoi réhabiliter le cloud régional« .
Les auteurs en donnent la définition suivante : « Cloud soutenable : Modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont respectueux des dimensions environnementale, économique et sociétale-éthique »
Outre le fait qu’il soit déjà souverain et régional ce cloud doit donc apporter ces garanties supplémentaires.
Dans un secteur énergivore comme le cloud, la responsabilité d’un acteur se mesure à la réalisation du savant mélange entre les contraintes de son métier et le respect de l’environnement.
Il faut pouvoir intégrer les considérations environnementales dans son ADN, les décliner dans sa stratégie de développement et dans sa démarche qualité.
Pour commencer, adapter la ressource au besoin est un premier pas.
Par ailleurs, avoir une réelle politique de gestion des équipements d’un point de vue performance énergétique, durabilité et recyclage constitue un axe d’amélioration permanente.
Enfin, agir en qualité d’acteur régional responsable et participer au développement harmonieux de son territoire vient compléter la démarche.
4/ La réversibilité : partez quand vous le souhaitez avec vos données
Cette réversibilité ou portabilité est facilitée par votre hébergeur local la plupart du temps via la mise en œuvre de bonnes pratiques.
Pour s’en assurer doublement, il faudra veiller à l’interopérabilité des solutions mises en œuvre et donc à la livraison au moment de la migration d’un format standard pouvant être exploité par le prestataire suivant.
D’autres points doivent être éclaircis et stipulés en amont de la migration, le temps de disponibilité des données à récupérer, les temps d’interruption de service prévus…
Cette réversibilité au final doit bien favoriser la liberté du client dans une transparence totale et pré-établie.
5/ Un support proche physiquement et humainement
L’autre avantage indéniable de l’hébergeur local c’est sa disponibilité et sa réactivité.
Disponible, car il met le service rendu au client, au cœur de sa démarche.
Réactif, car il ne traite qu’un nombre limité de clients.
Pour parfaire ce service, des moyens humains ajustés sont mis en œuvre ainsi que des compétences éprouvées par de nombreux cas à traiter hétéroclites.
Le support est joignable rapidement par téléphone sans attente et sans numéro facturé. Il est pro-actif en ce sens qu’il va intervenir dès la signalisation d’un problème rencontré.
Enfin, la proximité avec les équipes permet un accompagnement sur le long terme, une connaissance fine des projets et de la délivrance de conseils sur mesure.
Au final, chez son hébergeur local, le client ne fini pas par être un simple numéro, au contraire, quelle que soit son envergure il est accompagné avec la même attention.
6/ Un prestataire autonome et indépendant avec des valeurs
C’est plutôt en général en réaction aux travers des méthodes les plus répandues qu’il construit ses valeurs, ses missions et son approche métier.
En ce sens, il va s’engager humainement et en toute transparence sur des solutions adaptées et sur-mesure.
Il va également assumer le poids de la responsabilité de la gestion des données critiques et sensibles de ses clients, en proposant un hébergement souverain et évolutif, hautement disponible, respectueux de l’environnement et de la réglementation.
7/ L’hébergeur régional : un acteur local en prise avec un écosystème dynamique
Cependant, la raison pour laquelle certaines entreprises font appel aux hébergeurs de masse c’est que ces derniers peuvent parfois leur proposer des outils complémentaires, des solutions d’exploitation de leurs données.
Un des enjeux pour l’hébergeur local est d’être acteur pour mettre en place via ses réseaux professionnels un écosystème alternatif permettant la valorisation des données et des savoirs-faire des clients de sa région.
Les pouvoirs publics ont bien pris en compte cette problématique et on se rend compte aujourd’hui à quel point une dynamique numérique est en train de se mettre en place dans de nombreuses régions de France.
Une émulation positive voit le jour et les hébergeurs locaux jouent déjà un grand rôle au quotidien, en accompagnant entre autres les start-up et les ESN (Entreprises de Services du Numérique) de leur territoire.
GAFAM : Google, Apple, Facebook, Amazon et Microsoft sont les cinq grandes firmes américaines qui dominent le marché du numérique, parfois également nommées les Big Five, ou encore « The Five ».
ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information
CIGREF : réseau de grandes entreprises et administrations publiques françaises qui se donnent pour mission de réussir le numérique
Cloud Act : Clarifying Lawful Overseas Use of Data Act
ARCEP : Autorité de Régulation des Communications Electroniques, des Postes et de la distribution de la presse
AOTA : Association des Opérateurs Télécoms Alternatifs