Pourquoi les entreprises françaises sont enfin séduites par le cloud ?
Depuis 18 mois, c’est un incroyable revirement qui s’opère. Les entreprises françaises basculent les unes après les autres vers le cloud. Serait-ce enfin l’amour fou ?
Pour reprendre une réplique Pour reprendre une réplique d’un film célèbre "Les relations qui démarrent dans l'intensité, ça ne tient pas la route." A la bonne heure. Entre le Cloud et les entreprises françaises, les relations ont commencé timidement… Pourtant depuis 18 mois, c’est un incroyable revirement qui s’opère. Les entreprises françaises basculent les unes après les autres vers le cloud. Serait-ce enfin l’amour fou ?
Des relations contrariéesSi le changement est souvent source de réticences, l’épisode Snowden n’a pas facilité l’adoption du cloud par les acteurs français soucieux de savoir où étaient hébergées leurs données, tant sensibles que personnelles, et si celles-ci étaient correctement sécurisées. La surenchère des cyberattaques et la médiatisation des fuites de données ont été en outre des catalyseurs "anti cloud". La montée en puissance depuis 2012, réelle... et parfois fantasmée, de ce qu’allait devenir le RGPD ainsi que la pression réglementaire sur les opérateurs d’importance vitale (OIV) notamment avec l’entrée en vigueur de la Loi de Programmation Militaire (LPM) en 2013, ont, elles aussi, contribué à faire camper les décideurs sur leurs positions.
Les déclics au changementCeci étant, pas toujours aisé d’aller à contre-courant de l’histoire…
Les usages numériques évoluent et les attentes des utilisateurs sont toujours plus fortes. Il est difficilement acceptable pour ces mêmes utilisateurs que les facilités d’usages numériques multiples dont ils disposent dans un cadre privé avec leurs outils personnels (multiples terminaux, synchronisation, cloud personnel, compte partagé, accès en tous points, etc.) n’existent pas dans leur cadre professionnel. A cela s’ajoute l’extrême porosité entre vie professionnelle et personnelle qui accentue davantage ce besoin pour chacun de tout avoir en permanence sous la main et quel que soit l’endroit où il se trouve.
Le besoin de mobilité et donc d’accès à distance de chez soi, d’une succursale de bureau ou d’un hôtel à l’autre bout du monde, est devenue une évidence. Tout modèle encore centralisé qui perdurerait dans une entreprise a malheureusement pour effet d’entamer à terme sa compétitivité ce qu’on constate depuis plusieurs mois.
Le shadow IT est quant à lui par excellence le symptôme d’une distorsion entre les usages qui s’imposent et les visions traditionnelles de certaines DSI qui perdurent. Vaut-il mieux adopter Microsoft Office 365, Google Suite, Salesforce, en mode SaaS de façon contrôlée ou laisser les utilisateurs contourner les règles et télécharger tout ce dont ils ont envie ? De deux maux il faut choisir le moindre. Toujours sur le shadow IT, s’il cible l’usage d’applications pirates au sein de l’organisation qui ne devraient pas avoir lieu, il est aussi question de ce qui passe à travers l’externalisation des processus industriels, et donc de leur multiplication. Des partenaires et fournisseurs mettent en effet en ligne des applications pour plus de simplicité et d’agilité. C’est du coup une ouverture de plus en plus prégnante du SI "subie" vers un spectre très large d’applications et de services...
Une adoption plutôt homogène du marché françaisSi l’adoption au cloud est généralisée, on remarque toutefois un segment vertical autour du retail, de la distribution, de l’hôtellerie, de la restauration tous demandeurs de transformation digitale mais sans grande expertise interne. Les pure players sans forcément de besoins précis, sont du fait de leur modèle, tenu à une approche Zero Trust. Le secteur public n’est pas en reste surtout du fait de stratégies de rationalisation de l’espace et de fonctionnement où s’opère le regroupement d’administrations publiques autour d’un même lieu physique entraînant une refonte du SI pour un usage plus approprié. L’idée alors est de chercher grâce au cloud que le bon utilisateur se connecte à la bonne application, non plus via une segmentation réseau mais par une segmentation basée sur le profil de l’utilisateur.
Les techniques qui rassurentSi le besoin d’adapter les usages et de rester compétitif est un premier pas vers la transition au cloud, il y a des réticences historiques auxquelles personne n’avait encore apporté de réponse pertinente. Il s’agit des questions de sécurité, l’assurance de ne pas voir ses données hébergées aux USA et plus généralement les questions de respect à la vie privée qui préoccupaient particulièrement les acteurs français à l’heure du RGPD. Comment ces points de blocage se sont-ils dissipés ?
Face à ces questions récurrentes du marché français, historiquement complexe, est née l‘idée de faire des passerelles sécurisées. Il n’est en effet plus possible aujourd’hui d’imaginer sa stratégie de sécurité ou de privacy sans le cloud. Autrement dit, la sécurité doit être une composante induite par le cloud. Il n’est pas question ici de parler de ce qui se pratique malheureusement encore comme la superposition d’appliances de sécurité. Il est question d’étendre ses exigences de sécurité au-delà du périmètre réseau pour sécuriser au plus près les données des utilisateurs, leur permettre une performance et une sécurité de n’importe quel point et depuis n’importe quel terminal.
S’il existe un argument qui a convaincu 40% des entreprises françaises c’est en rapport avec le respect à la privacy. En effet, les passerelles web ne fournissent aucune visibilité sur le contenu au fournisseur qui ne pratique aucun stockage.
Mais se pose alors la problématique du contrôle des logs et des données.
C’est via une plateforme d’intermédiation entre le client et le fournisseur que se gère la sécurité des données, la préservation de leur confidentialité. Le processus mis en place de confidentialité des données réside dans l’obfuscation des logs. Pour rappel l’obfuscation est une technique qui permet de rendre illisible un code source ou encore un log. De la même façon que le RGPD nous invite à anonymiser ou "pseudonymiser" des données personnelles, le log est ici obsfusqué.
La plateforme permet aussi de traiter les requêtes. Si le client demande à voir un log, c’est possible sans que le fournisseur ne puisse prendre connaissance de son contenu. La plateforme offre aussi et selon les mêmes principes la rapatriation des logs intercalés avec les SIEM pour les archiver et conserver de manière sécurisée.
Le droit à l’oubli n’a pas été épargné pour satisfaire pleinement aux exigences du RGPD. Certaines fonctionnalités offrent la possibilité aux clients de demander l’effacement des données personnelles de page web en ciblant une adresse IP et l’heure de la transaction, ce que le fournisseur peut alors faire mais à l’aveugle c’est-à-dire sans en voir le contenu.
Une des conséquences de ce nouvel enjeu a été d’intégrer les DPO tant côté client que côté fournisseur puisque la tendance veut que les DPO des clients veulent s’entretenir avec leurs homologues pour tester notamment leur conformité.
Une de leurs questions récurrentes d’ailleurs du DPO réside dans l’appréhension des failles de sécurité quand elles se produisent. Le concept de logs est donc important. Même s’il peut se produire le déchiffrement de logs, le log reste obfusqué. Dans une logique d’assistance et d’accompagnement des forces de l’ordre, certains fournisseurs stockent des logs en vue d’éventuelles réquisitions judiciaires, pour fournir des preuves en cas de suite. C’est un avantage supplémentaire indéniable et apprécié des entreprises qui ont besoin d’aide dans ces moments difficiles et de pression. C’est également une anticipation salvatrice à l’heure où la directive E-Privacy se précise…