Comment mettre en place une gouvernance de données multicloud
Entre la généralisation du télétravail et la nécessaire digitalisation de la relation client, la crise sanitaire aura accéléré l'adoption du cloud. Selon la dernière édition du State of the Cloud Report de Flexera, près de la moitié des charges de travail (workloads) des entreprises se trouvent dans le cloud public et cette part devrait atteindre 57% d'ici fin 2021. Cette accélération de la montée dans le nuage s'accompagne d'une stratégie résolument multicloud. D'après la même étude, 92 % des entreprises dans le monde ont négocié ce virage et font appel, en moyenne, à 2,6 infrastructures de cloud public.
Les avantages du multicloud sont connus. En mettant en concurrences plusieurs providers, une organisation peut sélectionner, plateforme par plateforme, les services cloud les plus compétitifs ou les plus innovants à un moment donné. Cette approche permet aussi de compléter la couverture géographique en optant pour des régions non pourvues par son fournisseur traditionnel ou de répondre à des exigences réglementaires en termes de localisation des données.
Première brique de gouvernance, une solution de cloud management platform (CMP) permet de disposer d'une couche d'abstraction
Cette stratégie multicloud ajoute toutefois de la complexité à la complexité. Elle pose des problèmes de portabilité et d'interopérabilité d'une plateforme à l'autre et augmente de facto la surface d'exposition d'une entreprise aux cyber-risques. Parmi les freins au multicloud les plus souvent évoqués par les sondés de l'étude de Flexera, la sécurité (81%) arrive en tête de liste suivie de la gestion des dépenses cloud (79%) et enfin la délicate question de la gouvernance (75%).
Comment, en effet, poser un cadre de gouvernance de données dans un contexte multicloud ? Comment unifier le mode de pilotage des données réparties sur plusieurs clouds, avec à la clé, la gestion de leur cohérence, de leur intégrité, de leur sécurité, de leur conformité en tenant compte des contraintes légales de localisation ?
Ce pilotage unifié bute tout d'abord contre la grande hétérogénéité des consoles d'administration entre les différents providers, ces derniers utilisant, par ailleurs, une terminologie propre. Chaque service cloud peut être associé à compte dédié, placé sous la responsabilité d'un administrateur qui affecte des rôles et gère les contrôles d'accès (access control list, ACL) des membres de son équipe.
Première brique de gouvernance, une solution de cloud management platform (CMP) permet de disposer d'une couche d'abstraction. Un tableau de bord unique centralise l'ensemble des opérations effectuées dans les différentes plateformes en indiquant l'identité de l'utilisateur et l'horodatage et le type d'action effectuée. Ces données peuvent être ensuite injectées dans un outil de reporting comme ServiceNow.
"Un CMP autorise une gestion des droits très fine avec des rôles correspondant aux profils de postes et au périmètre fonctionnel, avance Manuel Haas, directeur du développement chez Use It Cloud. Tel profil n'aura pas le droit de déployer des instances ou de consommer tels services chez tel provider." Créée il y a une dizaine d'années, c'est-à-dire aux débuts du cloud public, Use It Cloud propose un CMP qui s'interface aux APIs des différents providers. Il prend en charge les hyperscalers américains - AWS Google Cloud, Microsoft Azure et prochainement Oracle Cloud - et les providers français Flexible Engine d'Orange, OVHcloud, 3DS Outscale et bientôt Scaleway. Alibaba Cloud est également dans son viseur.
Pour Manuel Haas, un CMP donne également de la visibilité sur l'emplacement géographique des données qui peut être contractuellement ou techniquement masqué par les providers. "Il est important de savoir si des données sensibles sont hébergées chez un provider américain ou français et si leur géolocalisation ne contrevient pas aux réglementations en vigueur." Accessoirement, un CMP permet, dans une approche FinOps, d'optimiser les coûts en benchmarkant les ressources cloud consommées par business unit ou provider.
Les réponses du marché se structurent
Dans un billet de blog, Meenagi Venkat, vice president of technical sales & solutioning chez IBM Cloud, insiste également sur cette nécessaire gestion commune des identités et des accès, étendue à toutes les plateformes cloud. Il conseille dans le même temps de restreindre l'accès natif aux portails des cloud. De bonnes pratiques déjà éprouvées dans un environnement cloud "normal" peuvent aussi être reproduites dans une optique multicloud. La gestion du cycle de vie des données garantit que les données inutiles, redondantes ou obsolètes sont régulièrement supprimées. Ce principe de minimisation correspond aux exigences du RGPD. De même, le règlement européen sur la protection des données personnelles exige que le responsable de traitement sache précisément où ses données sont stockées et comment elles sont traitées et soit en mesure le prouver.
La réponse pourrait venir des providers cloud eux-mêmes
Des outils de data life cycle management (DLM) assurent ce suivi de la création de la donnée à sa suppression. L'exploitation des métadonnées permet également de prendre les meilleures décisions sur les données à archiver, supprimer ou conserver dans les cloud publics ou dans un datacenter en propre. Veritas propose un outil, Information Map, qui associé à des connecteurs offre une vue en temps réel des jeux de données, hébergés dans les différents services de stockage cloud. L'essor des technologies de stockage défini par logiciel (Software Defined Storage, SDS), dissociant le stockage d'une infrastructure matérielle spécifique, facilitera cette approche.
Autre fournisseur, Rubrik s'est, lui, spécialisé dans le backup et la restauration de données dans les environnements multicloud. La solution de cloud data management de la startup californienne supporte les fonctionnalités d'archivage, de réplication, de recherche et d'analyse de données pour les plateformes d'AWS, Microsoft Azure et Google Cloud.
Enfin, la réponse pourrait venir des providers cloud eux-mêmes. En décembre dernier, Microsoft annonçait Azure Purview. Actuellement en mode preview, ce "service unifié de gouvernance des données" permet, selon un billet de blog de l'éditeur, de savoir où les données sont stockées : on premise, dans les cloud publics ou dans les applications en mode SaaS. La création d'un glossaire d'entreprise facilite cette identification. Des classificateurs à base d'intelligence artificielle permettent, par ailleurs, de catégoriser les données personnelles sensibles ou les données hors conformité. En fonction de leur degré de criticité, il sera possible appliquer des dispositifs de sécurité renforcés comme la gestion par l'entreprise utilisatrice de ses propres clefs cryptographiques.