pavlofox - stock.adobe.com
Souveraineté des données : Workday dit OK (ou presque)
Workday s’ouvre aux hyperscalers. La conteneurisation derrière ce mouvement permet aussi d’envisager des hébergements souverains. Workday le fera-t-il ? L’éditeur travaille en tout sur la gestion des clefs de chiffrement par les clients, une autre option pour les entreprises sensibles à la confidentialité de leurs données.
Workday continue de diversifier son infrastructure. Derrière ses applications SaaS de gestion financière et son SIRH, l’éditeur américain gérait jusqu’à il y a peu ses propres datacenters. Deux installations couvraient classiquement l’Europe : une à Dublin et une à Amsterdam (backup et failover).
Mais les choses changent. En 2018, Workday se rapprochait d’AWS. Depuis, l’éditeur s’est ouvert à d’autres clouds publics. La planification (issue du rachat d’Adpative Insight) est disponible aux États-Unis sur Azure. Et des offres Workday sortiront en août sur Google Cloud (GCP).
Multicloud : un Workday en conteneurs
Pour Pierre Gousset, Vice President Presales chez Workday, la stratégie d’ouverture a un double atout. Le premier est de diversifier ses prestataires et de ne pas dépendre d’un seul hyperscaler. Le second est de bénéficier de plus de flexibilité, de plus de scalabilité, ainsi que de multiplier les zones pour héberger les données de ses clients.
Par exemple, les applications de Workday sont disponibles sur AWS en Allemagne « pour les clients qui en font la demande et qui satisfont les critères d’éligibilité et de qualification définis et appréciés par Workday (par exemple des exigences liées à la résidence des données ou de “Zéro Down Time”) », illustre Pierre Gousset.
Pierre GoussetVP EMEA Presales, Workday
En septembre, l’éditeur proposera également son PaaS (Workday Extend) pour développer des « add-ons » et des personnalisations (portails fournisseurs, ajouts de champs spécifiques, etc.) depuis cet hébergement allemand sur AWS.
Pour s’ouvrir à ces différents clouds publics, Workday est en train de retravailler en profondeur son architecture logicielle. Le but est de la structurer en microservices et de la virtualiser dans des conteneurs pour faciliter une approche multicloud.
« Le chantier est en cours », confirme Pierre Gousset au MagIT. Or cette conteneurisation ouvre de nouveaux horizons.
Vers une vraie souveraineté des données dans Workday ?
Workday propose déjà des options semi-souveraines où les données d’une entreprise cliente restent dans une zone (pour l’Europe dans son datacenter à Dublin ou en Allemagne sur AWS).
Mais tout comme pour le « EU Data Boundary for the Microsoft Cloud », un hébergement local géré par un acteur américain (Workday lui-même) ne permet pas de s’affranchir des travers de l’extraterritorialité du droit étatsunien dénoncés par le ministre de l’Économie et des Finances, Bruno Lemaire.
Pour s’en prémunir complètement, il faudrait que les données et l’application elle-même soient sur une infrastructure souveraine, et gérées par des acteurs locaux (fondement de la doctrine « Cloud au centre »). Sur le papier la conteneurisation en cours chez Workday devrait lui permettre de se déployer sur n’importe quelle infrastructure. Y compris, donc, sur des clouds souverains européens.
OVHcloud et T-Systems pourraient donc héberger le SIRH et la gestion financière de Workday, superviser l’application, et gérer les mises à jour, les montées de versions et les patchs avec, si besoin, l’aide d’un partenaire (Capgemini, Atos, etc.).
Cette logique est celle du futur « Bleu » (Microsoft 365 revendu par Orange), et la base du partenariat stratégique entre Google et Thalès – même si dans ce cas l’infrastructure est intégralement apportée par Google et ne concerne que le IaaS et le PaaS de GCP.
Dans ces cas, la technologie est américaine (pas de souveraineté technologique), mais les données sont gérées par des Européens (souveraineté des données).
Se pose donc la question : Workday étendra-t-il ses conteneurs à OVHcloud ?
Pierre Gousset sourit et pèse ses mots. « Techniquement, c’est bien la logique de pouvoir aller sur d’autres clouds », répond-il.
Chano FernandezCo-CEO, Workday
En juin 2021, le PDG adjoint de Workday avait lui aussi ouvert la porte à ce type de souveraineté (ou ne l’avait pas fermée, selon les points de vue). Être hébergé et géré par des acteurs locaux, « c’est quelque chose que Workday pourrait faire », avait assuré Chano Fernandez au MagIT.
« Nous avons déjà un exemple de client semi-public français sur IBM. Nous manageons encore la solution parce que ce n’était pas une exigence [du cahier des charges initial] et IBM n’est peut-être pas un acteur “local”, mais Capgemini est l’un de nos partenaires, donc ce cas pourrait servir d’exemple pour l’avenir », avait-il confié.
« Pouvons-nous héberger Workday dans un centre de données qui serait géré par un fournisseur de cloud public tiers en France [N.D.R. : pour se conformer à la doctrine “Cloud au Centre” de l’État ou à la Loi de Programmation Militaire] ? Je ne vois aucune raison pour laquelle nous ne pourrions pas le faire. Nous nous conformons toujours à la loi. Donc la réponse est : “oui”. »
Chano Fernandez avait néanmoins tempéré l’intérêt des clients. « Jusqu’ici, nous n’avons pas eu de demandes sur ces questions de souveraineté des données. Aucune », tranchait-il.
Concurrent de Workday, SAP avait fait exactement le même constat d’une absence de demande pour un cloud souverain… avant d’entamer des discussions avec OVHcloud et de finir par certifier le cloudiste français. « Il ne faut jamais dire jamais », dit le dicton. Surtout quand l’offre peut susciter la demande.
KMS : la gestion des clefs de chiffrement se rapproche, doucement, mais sûrement
Une autre option pour rendre des données immunes à l’extraterritorialité consiste à les chiffrer soi-même puis à garder précieusement les clefs de chiffrement, dans un KMS (Key Management System).
Plusieurs grands noms du cloud le permettent, mais pas encore Workday. Dans un échange avec LeMagIT en 2018, son SVP Development Technology de l’époque, Daniel Clark avait cependant confié que cette possibilité – qui rend les données illisibles, y compris pour le fournisseur SaaS – pourrait arriver « dans notre feuille de route. Pas pour le futur proche, mais on y pense ».
Qu’en est-il quatre ans plus tard ? L’option KMS est, semble-t-il, actée. « Nous travaillons sur le sujet du Bring Your Own Key », assure aujourd’hui Pierre Gousset au MagIT.
Mieux, des clients le demanderaient, renchérit François Cadillon, Vice President Continental Europe chez Workday. Le BYOK et le KMS auraient dans un premier temps particulièrement intéressé les clients de la zone Asie avant d’attirer aujourd’hui l’attention de ceux de la zone Europe – dont des clients français « sensibles », complète François Cadillon.
Conséquence, Workday fait beaucoup plus que « d’y penser ». Et a priori pas pour un futur lointain.
Propos de Workday EMEA et France recueillis le 7 avril 2022 à Paris