La 13ème édition du salon Cloud Datacenter Infra s’est tenue les 29 et 30 juin dernier à Paris – porte de Versailles. Au programme, des questions qui sont à l’agenda de nombreux DSI : data dans le Cloud, durabilité des infrastructures, valorisation des données, Cloud hybride. Nous vous proposons ici le compte-rendu de la table ronde “Bâtir ou composer des infrastructures sûres et conformes, avec une qualité de services garantie de bout en bout”, qui a réuni Christine Grassi, consultante sécurité Devoteam Revolve, Sami Slim, directeur Général Telehouse France, et Jean-Paul Smets, PDG de Rapid.Space.

Enjeux et défis

Animée par Alexandre Boero, journaliste, la table ronde s’est ouverte sur la question des enjeux et défis majeurs pour les trois intervenants. Pour Christine Grassi, il s’agit de l’accompagnement des clients dans leurs projets de transformation Cloud, et de la gestion du changement qui dépasse de loin le simple aspect technologique (voir ses articles ici).

L’impact est organisationnel, méthodologique, et toutes les entreprises n’anticipent pas l’ampleur de cette transformation. La migration Cloud est parfois traitée comme un projet à dérouler mécaniquement, sur la base d’une feuille de route et d’un périmètre établi. Pourtant, l’expérience montre que l’ouverture aux sujets du Cloud au-delà de la DSI est un facteur de réussite des projets. Christine Grassi cite ainsi l’exemple d’un client qui a su inclure l’ensemble des entités, métiers et fonctions support, dans une réflexion préalable et a ainsi identifié notamment de nouveaux enjeux organisationnels liés à la répartition des responsabilités, à la fiabilisation des processus, à la priorisation des besoins de formation accrus et à la mobilisation des utilisateurs finaux.

Pour Jean-Paul Smets, qui propose avec Rapid.Space une solution “Fully open Cloud” européenne, l’enjeu est tout autre. Il cite en effet la « cartellisation » du marché du Cloud, où quelques acteurs dominants parviennent à faire oublier l’existence de solutions européennes. Pourtant, l’Europe est le berceau de technologies qui sont au cœur de l’IT actuel : Python, les conteneurs, le edge computing, le PaaS… autant d’avancées majeures qui ont vu le jour en Europe, et selon Jean-Paul Smets, beaucoup de produits Cloud américains sont construits sur la base de technologies européennes (comme MariaDB, par exemple). C’est pour cette raison que Rapid.Space a rejoint l’association Euclidia, qui regroupe une trentaine d’entreprises européennes spécialisées dans les technologies Cloud. Enfin, le PDG de Rapid.Space cite la difficulté posée par les normes comme SecNumCloud, qui bloquent l’innovation européenne au lieu d’en favoriser l’émergence.

Un constat partagé par Sami Slim, pour qui la concentration du marché de l’infrastructure IT et logicielle devient un danger pour l’industrie dans son ensemble. Certaines briques essentielles de l’IT sont concentrées entre les mains de quelques acteurs, c’est un rapport de force déséquilibré, qui à terme risque de détruire de la valeur.

La garantie d’une qualité de service de bout en bout 

Pour Sami Slim, la question de la garantie de la qualité de service suppose d’accompagner les clients dans la lecture de leur IT, qui doit être considéré comme un ensemble continu, depuis les couches les plus basses jusqu’aux workloads métier ou à la donnée. Quelles sont les applications critiques, quelles sont les données les plus sensibles ? A vrai dire, peu de DSI ont mené cette analyse, car elles sont depuis longtemps en mode pompier, répondant aux besoins les plus urgents. Un contexte dans lequel il n’est pas toujours simple de maîtriser les impacts sur le long terme.

“Personne ne peut garantir le fonctionnement de l’internet”, comme l’explique ensuite Jean-Paul Smets. Si l’idée de garantie n’est peut-être pas la bonne, car tout ne peut pas fonctionner de manière déterministe, il défend néanmoins l’idée de transparence : la transparence des moyens mis en œuvre pour parvenir à un résultat.

Un constat partagé par Christine Grassi, pour qui il est essentiel d’accompagner les clients dans la connaissance en profondeur de leurs environnements. Ce qui suppose notamment la mise en place d’une démarche d’observabilité, et ce dès le démarrage des projets. Que veut-on observer sur les infrastructures, quels sont les seuils à atteindre ou au contraire à ne pas dépasser, et comment collecter et agréger ces données ?

Des exemples de cas d’usage

Au quotidien, comment ces enjeux se traduisent-ils pour nos intervenants et leurs clients ? On parlait plus haut de certifications comme SecNumCloud, et TeleHouse a justement accompagné certains de ses clients comme 3D Outscale dans l’obtention de ce précieux sésame. En tant que fournisseur d’infrastructure, le rôle de l’entreprise est ici d’être suffisamment transparent pour permettre à ses clients de se qualifier pour la certification. Et cela suppose, pour chaque pays, de s’adapter aux exigences locales avec les mêmes bonnes pratiques de transparence.

Rapid.space met également en avant les enjeux de transparence face aux aléas des débits. Jean-Paul Smets cite le cas d’un client basé à Créteil, avec des usines en Chine, et un CRM hébergé sur AWS à Singapour. La congestion générale de l’Internet, et le “great firewall chinois” ont obligé l’entreprise à développer une technologie SDN pour trouver à intervalles réguliers le chemin le plus rapide entre deux points, et que son client puisse accéder à son CRM avec des temps de réponse équivalents, qu’il soit à Créteil ou en Chine. Cependant, pour beaucoup d’entreprises, ce type de contraintes est encore difficile à comprendre.

Christine Grassi cite l’exemple de deux projets de grande ampleur, avec dans les deux cas la création d’un environnement dans le Cloud. L’intégration des questions de sécurité dès le lancement des projets a fait la différence, mais ce n’est pas encore une évidence pour tout le monde. Beaucoup d’architectes sont encore réticents à inclure des responsables sécurité au démarrage de leurs projets. Sur les deux cas cités, une approche collaborative entre la sécurité et les architectes, où l’on itère sur de petits périmètres a permis de bousculer les idées reçues sur la sécurité et a eu un impact positif sur la suite des projets. Dans ce contexte, les équipes sécurité ont été parmi les premiers promoteurs du projet.

Sécurité, conformité, qualité de service… facteurs de transformation de l’IT ?

Pour Jean-Paul Smets, les failles du noyau Linux sont tellement nombreuses qu’il préfère rester modeste et se considérer comme “mauvais” sur la sécurité. Impossible de prétendre le système inattaquable, mais il préconise une approche “zero knowledge” du prestataire, qui permet de ne pas conserver les mots de passe ou certificats du client sur la plateforme, et ainsi se prémunir de toute demande d’accès des autorités ou d’un état.

Autre point d’attention, la vérification de la signature du noyau : la société a développé une technologie “trust in boot”, qui vérifie au démarrage d’un système que l’image a bien tous les fichiers nécessaires, et uniquement ceux-là. Selon lui, la plupart des opérateurs Cloud ne proposent pas de trust in boot.

(A noter qu’AWS propose un service Trusted Platform Module pour EC2, et Google des VM protégées. En l’état, nous manquons d’éléments pour comparer ici l’étendue de ces services au trust in boot de Rapid.space).

Sami Slim souligne quant à lui l’importance d’avoir de la cohérence dans les choix, sur l’ensemble du cycle de vie. Si la cybersécurité est un enjeu pour l’entreprise, et qu’il faut se prémunir contre le risque de fuites, alors c’est un effort qui doit s’appliquer à chaque étape du cycle, depuis la fibre optique jusqu’au logiciel métier.

Un constat que partage Christine Grassi. Accompagner les entreprises à aller sur le Cloud AWS ne signifie pas qu’il y a une réponse unique aux besoins des entreprises. Christine Grassi préconise un mix de solutions : certaines données ont vocation à rester on premise, d’autres au contraire peuvent être dans un Cloud public, enfin les données les plus sensibles nécessiteront une solution de type Cloud souverain. Il reste encore beaucoup de travail à faire au sein des entreprises pour mieux connaître le patrimoine informationnel, et pouvoir baser objectivement ses décisions sur la sensibilité ou la criticité des données. Ce travail de classification est l’une des premières étapes à mettre en œuvre.

Les perspectives d’évolution du marché

Le constat est amer du côté de Rapid.Space : le fournisseur de Cloud européen constate une baisse de l’activité en France depuis le discours de Bruno Lemaire sur le Cloud de confiance, discours qui a dénigré la qualité de l’offre européenne en la matière. Face à l’hostilité des gouvernements, et à la cartellisation du marché, l’entreprise est obligée d’adresser les marchés à l’export, pour compenser le peu d’appétence des entreprises pour les technologies européennes.

Sami Slim retient cependant des raisons de se réjouir : la position unique de la France en fait le carrefour de l’Europe et une zone de jonction entre hémisphères nord et sud, notamment dans le domaine des câbles sous-marins. Marseille sera ainsi bientôt le premier hub de communications en Europe du Sud. Si Sami Slim croit que la France peut prendre une place centrale dans la géographie mondiale de l’internet, cela passera aussi par une diminution de l’interventionnisme d’État qui contribue à favoriser des acteurs déjà dominants. Internet, dans sa définition, c’est une multitude d’acteurs qui interagissent, et non pas une situation d’oligopole. Christine Grassi s’aligne également sur ce point : si les normes et régulations sont nécessaires, elles doivent être conçues à bon escient, et contribuer à faciliter l’innovation plutôt qu’à la bloquer.