Le cloud apporte de nombreuses solutions techniques et offre beaucoup d’avantages, à la condition de se poser certaines questions clés comme la souveraineté et la réversibilité des données abordées à la Cloud Computing World expo.« Il ne faut pas confondre souveraineté numérique et cloud souverain », pose d’emblée Didier Renard, Pdg de Cloudwatt en rappelant l’étymologie du mot souverain (Qui est au-dessus des autres, dans son genre. Qui dans son domaine n’est subordonné à personne – Petit Robert, NDLR). La souveraineté numérique a plus à voir avec ce qu’en d’autres temps on appelait l’indépendance nationale qui avait menée au plan calcul dans les années 60 et que l’on peut transposer aux technologies d’aujourd’hui. L’idée du cloud souverain a germé à partir de 2006 avec la naissance d’AWS. Rappelons que le cloud souverain français est issu des projets d’investissements d’avenir en 2009 et qui a donné naissance à Numergy et à Cloudwatt sous fond d’ambitions européennes. Avec des résultats très mitigés. « Neuf ans plus tard, on observe une grande maturité aux Etats-Unis dans l’évolution vers le cloud alors que l’Europe connaît une adoption très lente » considère Didier Renard.
« Est-ce au contribuable de payer ce type d’initiative où doit-on en laisser la responsabilité aux entreprises privées ? » rétorque Francis Weill, Directeur des services Cloud Services de Colt Technology Services dont la société répond au critère du Glocal : couverture globale et présence locale. « En tant qu’opérateur télécom, nous sommes soumis à des règles très strictes. On est cloud souverain dans chacun des 13 pays dans lesquels on possède 20 data centers reliés par 85 000 km de fibre optique, le tout représentant un investissement de 6 milliards d’euros. Nous offrons les données que l’on gère sont soumises aux règles locales ».
La localisation des données que l’on définit souvent comme un des critères de cloud souverain n’apporte pas beaucoup de garanties. « Deux questions permettent de balayer l’argument. Est-ce que mon fournisseur de services cloud est soumis au Patriot Act qui l’oblige à transmettre toutes les données aux autorités américaines lorsqu’elles le demandent ? Est-ce qu’il satisfait aux principas du Safe Harbor de protection des données personnelles.
Les affaires Snowden, Gemalto et consorts jouent-elles un rôle dans la prose de conscience des entreprises ? « Pas grand-chose pour Francis Weill, nous savions que nous étions écoutés. Si on a des choses à cacher, on ne les met pas dans le domaine public ». Avis diamétralement opposé pour Didier Renard : « Concernant la première affaire on ne savait pas que ça allait aussi loin dans leur capacité de déchiffrement ; pour la seconde, on ne savait pas combien le matériel était contaminé. Il y a un avant Snowden et un après Snowden. Et on part de très loin. Prenons l’exemple des universités françaises dont nombre d’entre elles utilisent un système de messagerie d’un fournisseur américain qui a tout loisir de puiser dedans pour y extraire toutes les informations qu’il souhaite ».
Les entreprises françaises doivent donc être conscientes de ces problèmes mais elles sont dans une situation difficile tant la concurrence est déséquilibrée et les ressources totalement disproportionnées : là où les investissements des grands fournisseurs américains de services cloud se mesurent en milliards de dollars par an, le capital social de Cloudwatt est de 225 M€. Difficile de surmonter une telle asymétrie dans la concurrence.
L’avis de l’utilisateur : Emmanuel Ossoucah, DSI du Groupe Proxis Développement
Va-t-on passer au cloud ? Que met-on dans le cloud ? Telles sont les deux questions clés que se pose la société Proxis Développement qui amène à une question tout aussi centrale : quid du secret industriel ? « Nous avons questionné Orange sur ces sujets, mais j’ai du mal à traduire tout ça à ma direction », explique Emmanuel Ossoucah, DSI de cette PME industrielle du secteur de la chimie (80 M€ de CA), environ 500 salariés). « Pour l’instant on n’a aucune application métier dans le cloud mais c’est là une solution d’avenir et nous y passerons tous. Il faut donc trouver des solutions qui répondent à nos besoins ».
La réversibilité, à prendre en compte dès la signature du contrat
« La problématique de la réversibilité est à prendre en compte dès la signature du contrat sachant que le coût de sortie peut être élevé », rappelle Skander Guetari, Architecte d’Entreprise chez Capgemini France. Comme tout contrat, il faut penser aux clauses de rupture et plus on y a pensé, plus ça se passe facilement. « Chez les clients qui se parlent et qui ont abordé en détail la réversibilité sur le plan contractuel », les choses se passent en général assez facilement, rapporte Alexandre Diehl du cabinet juridique Lawint. « Il faut en outre y intégrer la question de la continuité de services car il n’est pas question pour une entreprise de tout stopper pendant la mise en œuvre du projet de réversibilité ». Le maître mot pour parvenir est le contrôle, certaines entreprises délèguent ce contrôle, d’autres préfèrent le garder, c’est une question de choix. La réversibilité peut être appréhendée comme une sorte de migration avec certaines différentes car il y a deux équipes de gestion de projet, une pour le cloud de départ et une pour celui d’arrivée.
« La réversibilité est aussi une problématique technique et il faut concevoir l’urbanisation pour que le SI soit robuste et tolérant à la réversibilité », considère Cyril Ruche, Directeur des opérations Cloud, Quadria. « Comme nous hébergeons tous les grands opérateurs européens du clou, on peut les connecter en direct », facilitant ainsi le passage de l’un à l’autre, poursuit Stéphane Duproz, directeur général de Telecitygroup France qui précise que son entreprise n’est pas soumise au Patriot Act. Si les données sont critiques, il est préférable de faire appel à expert juridique car il faut rappeler que le directeur général de l’entreprise ne peut se défausser de la responsabilité de la gestion des données personnelles. Avec parfois des problèmes connexes comme celle de la sous-traitance. Une entreprise fait appel à un prestataire pour la gestion de la paie, quoi de plus banal. Mais celle-ci fait appel un sous-traitant pour la sauvegarde de données situé en Allemagne qui, lui-même, utilise un second sous-traitant à Singapour. Le premier sous-traitant se fait racheter par une société russe. On le voit, une situation simple peut se compliquer facilement. « Certes un dg est responsable des données personnelles de ses salariés, précise Alexandre Diehl, et si personne n’est jamais allé en prison pour un tel motif, la CNIL mentionne régulièrement les noms des entreprises qui ont failli, ce qui n’est pas beaucoup mieux ».
Dernier point sur la réversibilité, elle ne doit pas rester une question théorique, il faut la faire vivre, un peu comme on fait régulièrement les exercices incendie pour être sûr que ça pourra fonctionner lorsqu’on devra la mettre en oeuvre.
L’avis de l’utilisateur : Thibault Dallemagne, Responsable des SI, SFIC
Notre informatique reste dans nos data centers mais elle est « cloud ready ». Pour l’instant, nous n’avons que quelques services dans le cloud public et nous avançons doucement. Aller vers le cloud, c’est une perte de contrôle. La première question que je pose quand je discute avec un fournisseur : comment je pars de chez vous ? Avec les fournisseurs français, c’est assez simple, avec leurs homologues américains, la réponse est non et on ne peut trop discuter de la question de la réversibilité des données. On doit s’adapter à leurs contrats. Le problème est qu’il n’y a pas trop d’alternative qui soit compétitive financièrement. Quelle que soit l’approche, il faut envisager l’option du cloud et son calcul économique en incluant le coût de sortie.
Conseils sur la réversibilité
La réversible ce sont des bonnes pratiques, un architecture, des coûts techniques, en RH, en process, en licences ;
Il faut envisager le cloud en intégrant le coût de sortie ;
Il faut garder le contrôle des données dès la signature du contrat ;
Il ne faut pécher par angélisme et négocier tous les points avec son fournisseur.
Deux tables-rondes su salon Cloud Computing World expo
Que garantissent vraiment les Clouds souverains à leurs clients (confidentialité, sécurité, sûreté, indépendance technologique, performances) ?
Emmanuel Ossoucah, DSI du Groupe Proxis Developpement
Didier Renard, P-DG, Cloudwatt
Francis WEILL, Director Cloud Services, COLT Technology Services
Zoom sur la réversibilité : engagement du prestataire, faisabilité, maintenabilité, tests, réalisation, vérifications…
Cyril Ruche, Directeur des opérations Cloud, Quadria
Alexandre Diehl, Avocat à la Cour, Lawint
Stéphane Duproz, DG France, Telecitygroup
Thibault Dallemagne, Responsable des Systèmes d’Information, SFIC
Skander Guetari, Architecte d’Entreprise, porteur de l’offre Data Services, Capgemini France
puis