Pourquoi les entreprises prennent-elles le virage du cloud souverain ?

A l'heure où les entreprises accélèrent leurs stratégies multicloud, elles doivent porter une attention croissante à la sécurité et au respect de la confidentialité des données sensibles.

Les clouds souverains, gérés et opérés de manière privée ou via un fournisseur tiers, sont souvent utilisés pour stocker les données et les applications les plus critiques.

Toutefois, certaines organisations s’interrogent encore quant à l’utilisation des clouds souverains, malgré le risque de manquer un virage décisif. Plusieurs raisons peuvent expliquer ces craintes :

  1. Le manque de connaissance et de compréhension du concept de cloud souverain et de ses avantages.
  2. Des inquiétudes sur la disponibilité, les performances et les coûts des solutions proposées par les clouds souverains, en comparaison aux offres des hyperscalers.
  3. Des barrières légales et réglementaires : la souveraineté des données et les exigences de conformité peuvent freiner les organisations.
  4. Le statu quo : les organisations préfèrent rester avec les fournisseurs de cloud qu’elles connaissent et dans lesquels elles ont investi plutôt que d’explorer de nouvelles options.

Cependant, renoncer aux clouds souverains au profit des clouds publics peut poser d‘importants risques pour la sécurité et la confidentialité d’une entreprise.

Premièrement, les clouds publics sont généralement détenus et gérés par des fournisseurs tiers avec des contrôles et protocoles de sécurité différents de ceux de l’entreprise. Cela signifie qu’il est possible que les données des salariés fassent l’objet d’un accès non autorisé, d’un vol ou d'une utilisation abusive par des hackers ou d’autres acteurs malveillants.

De plus, les clouds publics s’appuient souvent sur une infrastructure partagée. Les données et ressources de nombreuses organisations sont stockées et traitées sur les mêmes serveurs et réseaux. Cela augmente le risque de fuite de données et de contamination croisée, où des données sensibles pourraient être accidentellement ou intentionnellement exploitées ou exposées à d’autres utilisateurs sur la même plateforme. Les plateformes partagées peuvent également avoir un impact sur la sécurité et la performance. Selon l’hyperviseur de base utilisé par le cloud public, des risques de tension des ressources et de dégradation des performances sont envisageables. Pour éviter cela, les clouds publics limitent souvent les ressources de calcul, de réseau et de stockage que les clients peuvent utiliser. Cela entraîne des coûts élevés par rapport aux performances des ressources, ce qui pousse de nombreux clients à retirer leurs données de ces clouds, comme l’illustrent les exemples de Basecamp et de 37Signals.

Par ailleurs, les clouds publics sont sujets à des exigences légales et réglementaires qui ne sont pas forcément alignées avec les besoins d’une entreprise en termes de sécurité et de conformité. Par exemple, il se peut que les fournisseurs de cloud public soient sujets à des lois étrangères telles que le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA), ce qui pourrait compromettre la confidentialité et l’intégrité des données classifiées. En Europe par exemple, le Cloud Act crée des inquiétudes à propos de la confidentialité et de la protection des données des citoyens de l’Union Européenne. En effet, cette loi autorise potentiellement les autorités américaines à accéder à leurs données personnelles sans garanties ni contrôles suffisants. Il entre en conflit avec le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne, qui demande aux entreprises d’obtenir le consentement explicite des individus pour traiter leurs données personnelles, et de s’assurer que les mesures adéquates de protection des données sont mises en place. Si l’on prend la donnée sous toutes ses formes (métadonnées, données de télémétrie, données comptables et données de support), la sphère d’influence à prendre en compte est bien plus grande que ce que l’on imagine. L’entreprise doit contrôler la gestion et la visibilité de ses données, étant donné qu’elles sont stockées et traitées dans un environnement tiers. Le cloud public (et par extension les solutions publiques multi-cloud) doit être plus standardisé pour permettre aux entreprises d’auditer, de surveiller et d’appliquer des politiques et procédures de sécurité. Toutefois, la sécurité des données ne relèvent pas uniquement de la responsabilité de l’entreprise. Les clients, lorsqu’ils utilisent les fonctionnalités de cloud public, partagent également cette responsabilité. Les clouds publics, fortement distribués et complexes, rendent une vue exhaustive presque impossible.  De plus, évolutions rapides du cloud public compliquent le suivi des politiques de sécurité sur des ressources multiples.

Pour finir, les clouds publics proposent des fonctionnalités et des outils différents, ce qui peut rendre compliqués la mise en place et le suivi des politiques de sécurité.

Ainsi les risques pour les entreprises de placer leurs données dans les clouds publics ne doivent pas être négligés,  ce qui doit les pousser à évaluer et essayer d’atténuer ces risques avant d’utiliser ces services.

Le cloud souverain est-il la solution miracle ?

Les inquiétudes des organisations concernant les clouds souverains portent sur la disponibilité, la performance et le coût des solutions par rapport aux offres de cloud public classiques. Voyons ensemble à quel point ces interrogations sont légitimes.

Les solutions de cloud souverain peuvent avoir une disponibilité et une portée différentes des offres de cloud public classiques. On pourrait ainsi considérer que cela limite leur capacité à gérer des charges de travail et des utilisateurs dispersés à travers le monde.  La souveraineté est d’ailleurs davantage un sujet national ou régional, comme par exemple au sein de l’Union Européenne. Les solutions de cloud souverain assurent en effet une forte disponibilité nationale et garantissent des centres de données présents dans la région souveraine. Aller au-delà des frontières impliquerait des juridictions et lois différentes sur tous les aspects des données et du cloud.

Outre la disponibilité, les solutions de cloud souverain, au même titre que toutes les solutions de cloud, ont des niveaux de performance et de mise à l’échelle différents de ceux des offres de cloud public. Cela peut être vu comme une limite à leur capacité à gérer des grands volumes de données gourmandes en ressources, mais les clouds souverains ont été élaboré pour répondre aux besoins de leurs clients souverains. Beaucoup de clouds souverains proposent des hauts niveaux de disponibilité, égalant au minimum les capacités des offres publiques. Opérer des données d'intérêt national ou de secteurs spécifiques requiert des exigences uniques en matière d’application.

Autre facteur, les solutions de cloud souverain peuvent être plus chères que les offres de cloud classiques en raison de coûts opérationnels plus élevés, d’économies d’échelle plus basses, et de la nécessité d’entretenir une infrastructure avec des talents spécialisés.

Toutefois, les clouds souverains sont synonymes de sécurité et de conformité. Les fournisseurs de cloud souverain investissent considérablement dans l’habilitation de leur personnel et de leur infrastructure pour répondre aux besoins spécifiques de classification des données ou de ceux liés aux secteur d’activité du client, ce qui n’est pas le cas avec des clouds publics. Certes, les fournisseurs de cloud privés n’ont pas les mêmes économies d’échelle que les fournisseurs de cloud public, mais de nombreux partenaires du cloud souverain proposent des ressources cloud très conséquentes. Par exemple, en France, OVHcloud fabrique son propre matériel et exécute plusieurs centaines de milliers de workloads dans ses environnements.

Dernier élément à prendre en compte, il se peut que les solutions de cloud souverains aient un niveau d’innovation et de développement de nouvelles fonctionnalités différent de celui des offres de cloud classiques. Cela limiterait leur capacité à suivre l’évolution des besoins des entreprises et des tendances du marché.

En regardant le problème sous un autre angle, les clouds publics, sur leur chemin vers la souveraineté, doivent à leurs tours souvent restreindre leur portfolio aux applications et données autorisées dans une région ou un pays spécifique, le tout isolé du management SaaS, ce qui peut également limiter l’innovation.

D’une manière générale l’innovation peut être abordée de deux façons : une prête à l’emploi (SaaS et PaaS) et une autre conçue à base d’infrastructures et de services nouveaux. Une solution de cloud industrialisée, prête à l’emploi, peut paraître intéressante pour se lancer rapidement mais elle peut présenter un risque potentiel en termes de conformité et de sécurité. Concevoir une solution qui correspond à ses besoins permet d’intégrer les problématiques de réglementation et de conformité dès le premier jour. A l’heure où la mise en conformité des données et de leur confidentialité vis-à-vis des réglementations est en constante évolution, il vaut mieux innover et impliquer toutes les parties prenantes de l’entreprise pour construire ensemble la meilleure solution.

Le cloud souverain prend ainsi une place cruciale dans la stratégie multicloud des entreprises. Elles doivent donc décider si, en retardant son adoption, elles sont prêtes à accepter les risques encourus ou si elles désirent dès maintenant innover tout en assurant la protection et la sécurité de leurs données.