Les entreprises françaises adoptent le cloud, mais se soucient de leur souveraineté
Le Cloud Act américain inquiète certaines entreprises françaises, mais n’empêche pas leur engouement pour le cloud public.
Portant mal son nom, l’événement Cloudweek 2019 - essentiellement une journée de rencontres - organisé par Eurocloud le 4 juillet donne un aperçu du marché du cloud en France et du regard des entreprises face à ces technologies.
Hasard du calendrier, cette journée tombait une semaine après la remise au Premier ministre du rapport du député Raphaël Gauvain, intitulé « Rétablir la souveraineté de la France et de l'Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale ». En ligne de mire le Cloud Act américain, qui, sous couvert de mesures sécuritaires, permet à l'administration américaine de contraindre les fournisseurs de services américains à transmettre des données stockées sur des serveurs situés dans des pays étrangers. Bref, de là à parler d’espionnage industriel et de guerre économique, il y a un pas que n’hésite pas à franchir le député.
Pour Igor Babic, Digital Protection Officer chez Axa, cette souveraineté numérique ne peut être obtenue que si les Etats s’entendent au niveau européen : « Le RGPD a permis d’influencer les acteurs du cloud. Il faudrait donc étendre le RGPD aux données sensibles d’un point de vue économique », estime-t-il.
Un antagonisme intrinsèque
Et de fait, la souveraineté, il en fut question au cours de cet événement, qu’il s’agisse de souveraineté des pays ou des entreprises. Si les participants comptaient être rassurés sur le Cloud Act par le représentant d’AWS présent lors de cette journée, ils en seront pour leurs frais.
Celui-ci s’est contenté de lire machinalement un discours lénifiant - en anglais - qui pourrait se résumer à « faites-nous confiance ». Un peu court. Les pistes à suivre pour assurer une transformation digitale sécurisée, et donc tirer parti du cloud en gardant son indépendance, c’est Laurent Maury, Vice-Président Critical Information Systems & Cybersecurity de Thales, qui les a tracées.
Laurent MauryVP Critical Information Systems & Cybersecurity, Thales
Le couple entre l’économie digitale et le cloud engendre un antagonisme intrinsèque : le cloud génère des données en masse indispensables au développement numérique. Mais, comme la valeur est dans les données, il est capital de les protéger (elles contiennent des expertises métiers ou des informations personnelles). « La souveraineté, c’est donc la sécurité des données, mais aussi dans la confiance des opérateurs de cloud », rappelle Laurent Maury. « Car il n’existe pas aujourd’hui de solutions techniques de chiffrement dans le cloud de bout en bout : il y a un moment, au cours des traitements qu’on leur applique, où les données sont en clair, donc accessibles à l’opérateur de cloud. Il y a des idées pour y remédier, tel le chiffrement homomorphe, mais on en est encore loin ».
Le multicloud indispensable
La première action à entreprendre est de classifier les données en fonction de leur sensibilité, et choisir le type de cloud en fonction de cette criticité. La deuxième est d’avoir une stratégie multicloud, en suivant l’exemple de l’État : le cloud public pour les données les moins critiques; le cloud privatif (hébergé mais privé) pour les données assez sensibles; le cloud privé sur site pour les données vitales.
Le multicloud est aussi un moyen d’éviter le vendor lock-in : de la même manière que les entreprises diversifient depuis longtemps leurs opérateurs télécoms, elles doivent faire appel à plusieurs fournisseurs de cloud. Pour PSA, « cette souveraineté passe aussi par l’Open Source », ajoute Noël Cavalière, Chief Technical Architecte de PSA Groupe.
Le succès du cloud public malgré tout
Ces questions de souveraineté n’entament pas le succès du cloud en France, notamment du cloud public, si l’on en croit la 13e édition du Baromètre des Prestataires du Cloud Computing, dévoilé par Markess lors de cette journée. Entre 2017 et 2020, la part des budgets informatiques consacrée au cloud aura été multipliée par 1,7.
Le cloud public reste le moteur, puisque les entreprises comptent y passer près de la moitié de leurs applications (en SaaS donc). La première raison avancée pour adopter le cloud public est l’agilité qui en résulte. Une évidence qu’a rappelée volontairement Laurent Maury, « la justification d’une stratégie cloud, ce n’est pas les économies, c’est l’élasticité. Si on n’a pas besoin de flexibilité, il est moins cher d’avoir des infrastructures informatiques dédiées ».
Les entreprises prennent également conscience des avantages d’une stratégie multicloud, malgré les difficultés de gestion et la complexité qui en découlent. Parmi leurs préoccupations, les risques sécuritaires, la protection des données et les différents contrats de service occupent les premières places.