Gérer la souveraineté dans une stratégie multicloud

La notion de souveraineté est largement utilisée malgré son ambiguïté. Elle est cependant encore plus complexe quand on parle de numérique, car celui-ci n’a pas de frontières physiques. L’évolution des réglementations et des normes décrites dans le SecNumCloud 3.2 permet d’apporter plus de précision, mais le terme reste large et multifacette : contrôle d’accès et d’utilisation des données, capacité à fonctionner sans ingérence d’organismes étrangers et naturellement cybersécurité. La notion dépend également du secteur, de la culture de chaque organisation et de la maturité des équipes.

En particulier dans le domaine du cloud, le sujet de la souveraineté demande également à être analysé en rapport au développement accéléré des catalogues de services des fournisseurs de cloud, à l’innovation des cas d’usage et à l’évolution des attentes des clients, citoyens et employés.

La gestion des risques, ou comment rendre le débat plus concret

La question de la souveraineté numérique n’est pas nouvelle, elle a toujours existé lors de la formulation des stratégies de cloud. L’évolution majeure est l’émergence de nouvelles offres. Au cours des dernières années, les workloads faisaient l’objet d’un choix binaire : soit elles pouvaient être transférées dans un cloud public, soit elles devaient rester dans une infrastructure sur site, idéalement un cloud privé construit et géré sous le contrôle strict de l’entreprise.

L’arbitrage était donc réalisé entre un riche catalogue de services externes sous le contrôle direct d’un tiers, ou une infrastructure contrôlée en interne avec un ensemble de services plus limité. Si ce principe de conception des stratégies de cloud n’a pas fondamentalement changé, les possibilités offertes sont désormais plus étendues et nuancées, permettant des stratégies plus sophistiquées.

Si l’on regarde sous l’angle de l’offre, l’arrivée du “cloud de confiance” conforme au SecNumCloud 3.2 offre une 3^ème option. Les organisations ont le choix entre cloud public, “cloud de confiance” et cloud privé. Il faut noter que les catalogues de services des fournisseurs de “cloud de confiance” ont tendance à être riches, avec des maturités différentes et parfois spécialisés, rendant le spectre des possibilités encore plus large.

Du point de vue de la gestion des risques, la maturité des entreprises face aux différentes typologies de risques est croissante : économiques, concurrentiels, géopolitiques, réglementaires, réputationnels, pour n’en citer que quelques-uns. Cette nouvelle maturité facilite l’analyse des domaines applicatifs, voire des applications individuelles et des portefeuilles de données. Cette granularité accrue apporte une vision plus précise de ce que la notion de souveraineté signifie concrètement pour chaque organisation.

Les stratégies multicloud sont dynamiques

Bien que la notion de souveraineté semble immuable, appliquée au domaine du cloud, son environnement varie très rapidement. De nombreux éléments d’une stratégie cloud prenant en compte la souveraineté sont en fait des pièces mobiles :

• Le paysage concurrentiel dans de nombreux secteurs évolue très rapidement, ce qui exige une innovation permanente dans les cas d’usage et d’utilisation des données.
• Les catalogues de services des fournisseurs de cloud se développent à une vitesse vertigineuse, tant pour le public que pour le privé.
• Le paysage réglementaire évolue en permanence – au niveau national et européen.
• De multiples fournisseurs de services innovants de “cloud de confiance” existent ou sont annoncés dans un espace qui devient rapidement riche d’options.
• La volatilité liée à la géopolitique et aux pandémies perturbe les chaînes d’approvisionnement, y compris celles des fournisseurs de cloud, et a donc un impact sur l’équilibre de la stratégie – les coûts de l’énergie et les perturbations dans les chaînes d’approvisionnement en semi-conducteurs font partie de l’équation.

L’équilibre entre contrôle et innovation tel qu’on le voit aujourd’hui va certainement se déplacer dans les prochains mois. Cela nécessite donc une attention continue de la part d’équipes multidisciplinaire. Risk desks, experts cybersécurité, commerce, informatique et architectes d’entreprise doivent apporter leur point de vue à cette réévaluation continue de la stratégie.

D’autre part, le contexte propre à chaque organisation a naturellement sa propre dynamique. Dans le cas spécifique des stratégies multicloud, presque tous les projets seront soumis aux forces en mouvement énumérées ci-dessus, voici quelques exemples en temps réel :

• Les projets d’adoption de technologies innovantes proposées par les fournisseurs de cloud, comme l’IA, les données ou le Low Code/No-Code.
• Les initiatives commerciales existantes et futures soumises à des réglementations en matière de confidentialité des données ou de résidence qui évoluent au fil du temps.
• Les dates de fin des contrats d’externalisation existants, que ce soient des contrats d’infogérance ou d’hébergement
• Les approches FinOps, en particulier lorsqu’elles impliquent l’utilisation d’instances réservées sur de longues périodes.

La clé : l’anticipation

Si l’on regarde de près, beaucoup des éléments mentionnés plus haut sont dès à présent entre les mains des décideurs. Même des sujets qui pourraient être considérés comme moins clairs, comme l’évolution de la réglementation, deviennent plus accessibles en termes de feuille de route. Par exemple, SecNumCloud 3.2 fournit un cadre très structuré sur ce que les services de cloud doivent fournir pour être considérés comme “Cloud de Confiance”.

Une stratégie multicloud qui inclut la souveraineté devient alors un sujet d’attention et d’intention de la part des décideurs – en assignant la bonne priorité, en mobilisant les bonnes ressources multidisciplinaires et en accédant aux bonnes informations, le tout dans le tempo stratégique des impératifs métier du client.