Le déploiement de solutions Cloud rencontre un succès grandissant
La crise sanitaire a probablement accéléré ce phénomène. Pour autant, les entreprises ont encore de nombreuses questions : souveraineté, sécurité/cyber-attaques, télétravail, clouds multiples, gouvernance, convergence … Ce plateau de 30 minutes offre un éclairage sur l’ensemble de ces points, notamment grâce au témoignage d’André Frachon, directeur et fondateur de VMS (Visiativ Managed Services). Un atelier animé par Hervé Guillaud, directeur Marketing de DIMO Software, avec la participation de Laurent Joao, responsable exploitation SaaS DIMO Software.
Le cloud, qu’est-ce que c’est ?
Le principe du cloud aujourd’hui consiste utiliser des ressources de calcul et de stockage à distance. La Covid a accéléré un phénomène très fort de déploiement de solutions dans le cloud. Or, il subsiste beaucoup d’interrogations sur ce sujet. Les données des clients ne sont plus chez eux, mais hébergées ailleurs, avec des applications disponibles n’importe où et quand, en toute sécurité. Le travail en mobilité existe depuis bien longtemps. 93% des entreprises françaises font du cloud en natif , parfois même sans le savoir, dont une partie importante utilisant Office 365. Basculer sur la partie applicative, c’est le SaaS.
André Frachon (VMS) explique : « Pour mémoire, dès 2000, nous avons hébergé la première application pour DIMO SOftware, pour qu’un client espagnol puisse utiliser Notilus à distance. Concernant le cloud, il est paradoxal de penser qu’il est risqué de confier ses données à un prestataire externe, alors que la sécurité est renforcée ! Chez soi, les données ne sont pas en sécurité contrairement à ce qu’on peut penser. La souplesse d’utilisation est magique : tout le monde a pu partir en télétravail en quelques heures sans aucune manipulation ».
Laurent Joao (DIMO) pense qu’on a du mal à imaginer mettre ses données de paye dans le cloud. Or, un mail de nos jours, circule quasiment à 100% dans le cloud. Des standards de qualité existent. La seule contrainte qui reste, concerne les fichiers très volumineux et certaines capacités de calcul ne peuvent pas encore être entièrement délocalisées. « Pendant la Covid, nous avons pu délocaliser les salles de formation de CAO/DAO de notre maison mère. Malgré tout, la force du système, c’est que les fichiers sont justement dans le cloud et n’ont plus à se déplacer. Ce qui se déplace, c’est l’image et le résultat. Chacun a donc pu travailler de chez lui sur des installations réputées jusque-là indéplaçables ».
La data : un sujet ultrasensible
On parle tous les jours de cyberattaques et de pertes de données potentielles encore plus depuis le cas OVH. Or, le cloud n’a rien à voir avec cela, même s’il faut se prémunir contre la perte des données. La numérisation des processus transforme du papier en « 0 » et en « 1 », c’est-à-dire en informations transportées via de simples câbles. Des ordinateurs sécurisés travaillant en réseau sont donc nécessaires. Mais la question de la sécurité est historique et le cloud n’est que le miroir d’une problématique actuelle, à savoir l’accélération de la transformation numérique approfondie dans les entreprises et la disparition progressive des processus manuels ou papier.
Que mettre en place pour conserver la confiance des clients au quotidien ?
Aujourd’hui, il ne s’agit plus de savoir si l’entreprise va être victime d’une cyberattaque, mais quand elle le sera ! Il lui faut donc choisir un bon CSP (Cloud Service Provider) ayant les moyens techniques, financiers et humains adéquats. Au sujet d’OVH, il ne s’agit pas seulement d’une rupture de flux et d’accès à des applications même si, au final, des données ont été perdues. La promesse du 100% de sécurité est complexe.
Laurent Joao explique le cas OVH ainsi : « Un des bâtiments a brûlé. Or, s’il est utile d’avoir des redondances, encore faut-il qu’elles ne se trouvent pas toutes dans le même endroit … et que le client ait opté pour une offre lui permettant d’assurer un plan de continuité d’activité (PCA). C’est un véritable élément différenciateur pour prévenir toute rupture de service et de pertes de données ».
André Frachon poursuit : « Il faut considérer le RTO/RPO (Recovery Time Objective : durée maximale d’interruption admissible d’une ressource informatique ; et Recovery Point Objective : durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne). Les entreprises doivent se poser concrètement la question du volume acceptable de pertes et de temps. Un accompagnement est donc indispensable quand on va dans le cloud. Une entreprise qui fonctionne en flux tendu doit réfléchir à l’infrastructure autour de ses données, et devra choisir le bon abonnement pour garantir la préservation de la donnée et le temps de remise en service. Qu’on accepte un temps de rupture de 1 semaine ou de 2 minutes, les résultats et moyens techniques et financiers ne seront pas les mêmes ! ».
Cloud Act, Patriot Act, cloud souverain… des notions ultrasensibles
« Le cloud souverain émane d’une entreprise française régie par le droit français. En fonction de l’entreprise avec laquelle on signe, on est impacté par le Cloud Act. S’il s’agit de Microsoft Corp, l’entreprise hébergeante peut consulter les données sans que l’utilisateur en soit informé, ce qui n’est pas le cas si on signe avec Microsoft France. Il y a quelques années, il y avait une quarantaine de régions Azure (les data centers Microsoft) dans le monde. Aujourd’hui, une région Azure représente 3 data centers et il y en a plus de 60 dorénavant. Le cloud évolue donc très vite. DIMO travaille avec des entreprises publiques – notamment les activités CRM, GMAO et Notilus, qui traitent avec des services d’Etat – ce qui nécessite que les données soient obligatoirement en France. VMS est ainsi un cloud souverain » explique André Frachon.
Il ajoute : « Le cloud se complexifie en devenant hybride, avec des données éclatées dans diverses applications via différents fournisseurs d’accès dans différentes machines, pays et localisations. Il faut donc se poser les bonnes questions en amont, et par qui les données peuvent être vues (autre législation ? autre pays ?) VMS dispose de ses propres data centers pour maitriser ses données et sauvegardes. Des entreprises clientes évoluent sur des secteurs sensibles tels que l’aéronautique ou la défense. Elles doivent se prémunir de l’espionnage industriel. Or, les PME française sont encore bien fragiles sur ce sujet. Si le cloud est extraordinaire en termes de capacité, certains niveaux de sécurisations sont nécessaires ».
Quelle gouvernance et pilotage ? Comment les applications communiquent-elles entre elles ?
Laurent Joao explique : « 80% de l’infrastructure de l’une de nos solutions est présente chez VMS, les 20% restants étant chez Azure France, centralisés en France pour des besoins de composants. On utilise des services PAS (plateformes de services), un composant qui nous aurait coûté très cher car nous n’aurions pas eu les compétences pour le réaliser. Cet élément se plugge sur la partie applicative ».
« Concernant la surveillance du data center, VMS utilise une IA (Intelligence Artificielle) de Microsoft car nous ne sommes pas capables d’en développer une nous-mêmes. Cette IA surveille les comportements anormaux dans le data center. On a donc pu détecter en amont des attaques et éviter des corruptions de données, des crypto lockers. L’hybridation, c’est aller chercher des composants et des technologies externes et coordonner un ensemble de moyens. VMS manage ces services et offre un éclairage à ses clients car, au final, la gouvernance est un sujet majeur » estime André Frachon.
Quelles compétences et ressources sont nécessaires en entreprise pour le déploiement et le pilotage ?
D’après Laurent Joao, le rôle du DSI réside désormais plus dans la gouvernance que dans l’action : « C’est une valeur ajoutée en soi. Surveiller et maintenir, plus que la création d’environnement, permet aux équipes de consulting DIMO de rester focalisées sur leur cœur de métier ». Pour André Frachon, pendant longtemps le rôle du DSI a consisté à faire fonctionner l’informatique en local. Maintenant, il se préoccupe des applications dont l’entreprise a besoin, de la gouvernance de la data, car c’est le véritable carburant de l’entreprise et non plus le SI.
Les questions des internautes
Quelle est la différence entre cloud et SaaS ?
Le cloud consiste à faire héberger son information hors des murs de l’entreprise. Le SaaS est la partie applicative métier : on loue des applications sans avoir l’outil et les infrastructures chez soi. La location de l’application embarque bien souvent l’hébergement.
Quels sont les risques liés au Cloud Act ?
Avant le Cloud Act, il y avait le Patriot Act : une entreprise ayant embauché un citoyen américain avait le droit de venir voir ce qui se passe dans les données de l’entreprise en question. En Europe, la RGPD (Règlementation Générale sur la Protection des Données) a contrecarré ce sujet-là. Ensuite, les Etats-Unis ont imaginé le Cloud Act : dans la mesure où les données sont localisées dans une entreprise américaine, l’Etat américain a le droit de venir voir ce qui se passe dans cette entreprise sans qu’elle en soit informée ni consultée. Or, une immense majorité de collaborateurs utilise la messagerie Outlook hébergée dans le data center Office 365 régi par Microsoft Corp. Il ne s’agit pas non plus de développer une paranoïa globale ! En cas de doute, l’entreprise française utilisera un cloud souverain. Il est bon de rappeler que la RGPD est une réglementation européenne qui s’applique à tous les états. C’est une obligation légale pour toute entreprise qui capte de la donnée personnelle.
Le cas OVH
OVH avait répondu à une problématique technique, mais pas physique. Comme expliqué précédemment, toutes les infrastructures se trouvant dans un bâtiment unique ont brûlé. Le mot à retenir est : sauvegarde. Il faut pouvoir la restaurer, imaginer des scénarios avec des PV de recette, savoir si la data reste intègre et pérenne. Pour André Frachon, c’est souvent une question de bon sens : « il faut délocaliser et tester car rien n’est infaillible. La norme ISO 270001 apporte énormément sur le sujet car elle a été prévue pour analyser les problématiques de sécurité et mettre en place des mécanismes adéquats. VMS est aussi certifié HDS (Hébergeur de Données de Santé), ce qui ajoute une couche supplémentaire en matière de sécurité pour nos clients».
Comment gérer une panne internet ?
La couche sécuritaire qu’on pourra mettre chez soi n’égalera jamais celle d’un CSP qui a des compétences, des ressources et des moyens financiers qu’une PME n’aura jamais. On parle beaucoup de pannes qui touchent beaucoup de monde simultanément. Or, celles-ci durent rarement très longtemps ce qui signifie que les mécanismes existent pour assurer une remise en service efficace sans perte de données.
En résumé : Aujourd’hui, la production d’un client est essentiellement dans le cloud. L’entreprise doit donc se poser les bonnes questions notamment en matière de pertes et durées acceptables et chercher les bons prestataires pour un accompagnement et conseil adéquat.