Passer au contenu

Comment naviguer en confiance dans un écosystème désormais multicloud ?  

Guillaume Renaud, Ambroise Lelievre, Camille Sebire & Solène Del Vecchio
23 octobre 2024
capgemini-invent

Pourquoi parle-t-on de cloud de confiance ?


La notion de confiance dans le cloud est un concept récent apparu à mesure que le besoin des organisations de réinventer leurs systèmes d’information pour accompagner leur croissance et l’innovation s’est heurté aux problématiques de sensibilité des données et de souveraineté

Initialement, le concept de « cloud souverain » a été présenté comme une solution à ces problématiques. Cependant, dans un monde numérique sans frontières, cette idée devient obsolète. Au-delà de l’appellation, c’est l’idée même d’un cloud entièrement souverain, contrôlé et géré de bout-en-bout (du processeur aux couches applicatives) au sein de frontières nationales, qui paraît caduque.  


Dernièrement, une approche plus pragmatique visant à formaliser des garanties de sécurité et de souveraineté entre les organisations et les fournisseurs de services cloud émerge en Europe. Celle-ci repose sur des garanties produites par un intermédiaire de confiance, comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France ou le Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne. C’est notamment à la suite de l’annonce de la Stratégie Nationale pour le Cloud en 2021 que l’ANSSI a mis à jour le référentiel SecNumCloud, visant à qualifier des fournisseurs de services cloud (IaaS, PaaS, CaaS, SaaS). Les services qualifiés obtiennent un visa de sécurité et sont jugés « de confiance ». 

Le cloud de confiance diffère néanmoins de la « confiance dans le cloud » 

Les services cloud ayant obtenu la qualification SecNumCloud viennent ainsi se conformer à plus de 270 exigences définies par l’ANSSI. C’est la « confiance du cloud », dont la responsabilité est portée par le fournisseur, qui promet de fournir des garanties fortes en matière de : 

  • Technologie : étanchéité du service qualifié (ex. cloisonnement des réseaux), modalités de contrôle d’accès et gestion des identités, modalités de réversibilité des données.
  • Données : chiffrement, localisation des données client et opérationnelles dans l’UE. 
  • Opérations : restrictions d’accès à l’information, modalités et localisation du support technique. 
  • Juridiction : application exclusive du droit européen, protection contre les lois extraterritoriales, actionnariat de la maison mère. 

La « confiance dans le cloud » relève quant à elle de la responsabilité du client et fait référence aux dispositifs adoptés par les organisations clientes elles-mêmes pour notamment1  définir une approche Zero Trust, sécuriser chaque couche de l’infrastructure via des outils adaptés et identifier des pratiques adaptées à la sensibilité de leurs données. 

Le continuum de confiance : un arbitrage entre innovation et maîtrise des risques  

Pour les organisations, la priorité demeure l’établissement d’un juste milieu entre l’amélioration de la performance, le développement de l’innovation et la maîtrise des risques.2 Dans une stratégie qui s’impose souvent comme multicloud, les solutions cloud de confiance viennent compléter les offres à disposition des organisations pour faciliter la continuité et la portabilité : 

Les services de cloud public offrent des usages innovants à forte valeur ajoutée (ex. GenAI). Ils sont principalement offerts par des acteurs américains 3 ; néanmoins, afin de répondre aux besoins de confiance et de réassurance des organisations, leurs propositions en matière de sécurité se sont renforcées : 

  • Hébergement et sécurité à la carte : des offres permettent davantage de contrôle sur l’emplacement des données au sein de l’Union Européenne, proposent des modalités de chiffrement et de gestion des clés ainsi que des services cloud-native de sécurité et de gestion des identités. Ces services additionnels sont souvent regroupés sous des approches plus globales comme l’EU Data Boundary chez Azure ou le Sovereignty Pledge chez AWS. Dans une logique de conformité avec les réglementations européennes, ces services et leur positionnement s’adaptent rapidement (ex. début 2024, suppression des egress fees en cas de migration vers un autre service cloud / de résiliation).
  • Services dédiés aux charges sensibles : des offres « d’informatique confidentielle » permettent de protéger (de chiffrer) les données en cours de traitement en les isolant dans un environnement sécurisé (Nitro Enclaves chez AWS, Confidential VMs sur Azure et Confidential VM Instances sur Google Cloud Platform).  
  • Interopérabilité et solutions déconnectées : des solutions favorisent l’interopérabilité et la gestion multiclouds (ex. Azure Arc) et s’articulent avec des solutions “déconnectées” ou ancrées dans l’open-source, telles que Microsoft Azure Stack Hub, AWS EKS Anywhere ou Google Cloud Distributed Hosted. Elles rendent possible d’étendre l’empreinte du cloud dans des environnements locaux ; néanmoins, les catalogues de services sont plus restreints en raison des exigences d’isolation induites par ces modèles. 

Les services de cloud de confiance – aujourd’hui ayant obtenus le visa de sécurité de l’ANSSI – sont principalement fournis par des sociétés européennes, notamment françaises. On distingue deux typologies d’acteurs : 

  • Acteurs de confiance : des sociétés comme Bleu ou S3NS visent à proposer un catalogue de services entièrement qualifié SecNumCloud « par design », fondés sur des technologies d’hyperscalers. 
  • Services unitaires de confiance : des offres SecNumCloud comme Hosted Private Cloud d’OVHCloud visent à fournir un service qualifié pour une durée de 3 ans (renouvelable). Néanmoins, des acteurs comme OVHCloud annoncent leur volonté d’étendre la qualification SecNumCloud à leur portefeuille complet de services cloud. 

Conclusion

Ces futures offres comportent déjà des services différents et il faudra sélectionner celles qui répondront à la fois aux cas d’usages métiers et IT tout en tenant compte de l’intimité éventuelle ou empreinte existante de l’organisation avec les technologies sous-jacentes. Les (nouveaux) enjeux réglementaires sont également à intégrer au sein de la réflexion (ex. schéma de certification européen – EUCS – en cours de réflexion).  

Pour préparer la migration vers ces solutions, cinq étapes critiques sont recommandées : 

  1. Diagnostiquer l’existant : évaluer la maturité IT et organisationnelle. 
  1. Réaliser ou actualiser l’inventaire applicatif – afin notamment classifier les données selon leur sensibilité. 
  1. Prioriser les cas d’usages : identifier les besoins IT et métiers et les aligner avec les autres enjeux stratégiques de l’entreprise (part de marché, obsolescence IT, innovation, RSE, etc.)
  1. Étudier les catalogues de services : analyser les offres du marché et tester via des PoC (proof of concept) 
  1. Actualiser la stratégie cloud : définir une feuille de route avec planning, business case et identification des impacts organisationnels. 
  1. Cybersécurité et cloud de confiance, un mariage de raison, Capgemini, 9 mars 2023  ↩︎
  2. Les risques adressés par le cloud de confiance, Capgemini, 25 octobre 2022 ↩︎
  3. En 2022, 72% des dépenses cloud en Europe sont destinées à Amazon, Google ou Microsoft – Source : European Cloud Provider Share of Local Market, Synergy Research Group, 27 septembre 2022 ↩︎

Auteurs

Guillaume Renaud

Vice President Cloud Transformation, Capgemini Invent
Guillaume dirige la practice Cloud Business Transformation et les offres autour de Générative AI pour les domaines IT. Guillaume est un expert du Cloud Public et du Cloud de Confiance, il a accompagné de nombreux clients dans leur programme de transformation et a participé à la création de BLEU.

Ambroise Lelievre

Directeur Business Technology, Capgemini Invent
Directeur au sein de la division Business Technology de Capgemini Invent France, Ambroise Lelièvre accompagne ses clients dans leurs programmes de transformation technologique, principalement pour les Banques et les Assurances. Il couvre notamment les sujets tels que la migration vers le Cloud, la mise en place de plateformes digitales (API) et la convergence de SI. Au sein de la tribu Cloud, il co-pilote également la création d’une offre Cloud Souverain / Cloud de Confiance pour le marché français.

Camille Sebire

Consultante Senior | Transformation cloud & cloud de confiance, Capgemini Invent
Camille Sebire est consultante senior au sein de la division Business Technology chez Capgemini Invent. Elle accompagne nos clients dans leurs projets de transformation cloud (stratégie, pilotage et conduite du changement) et contribue à la création de l’offre d’accompagnement relative au Cloud de Confiance et à la Souveraineté Numérique pour le marché français.

Solène Del Vecchio

Consultante Senior | Transformation cloud & cloud de confiance, Capgemini Invent
Solène Del Vecchio est consultante senior au sein de la Division Business Technology chez Capgemini Invent. Elle a contribué à la création de l’offre d’accompagnement relative au Cloud de Confiance et à la Souveraineté Numérique, et a également participé à la création de Bleu. Elle continue aujourd’hui de travailler aux côtés de l’équipe Cloud Business Transformation.

    Découvrez nos articles de la série Tech & Inno

    Les banques centrales multiplient les études et initiatives de monnaies numériques, tantôt adossées à des systèmes technologiques innovants comme la blockchain, tantôt par des prismes plus traditionnels et centralisés.

    Alors que les interactions numériques se multiplient, de plus en plus de démarches dépendent désormais des formes numériques d’identification, comme payer ses impôts, accéder à son compte bancaire ou bénéficier d’une téléconsultation.

    Pour aller plus loin

      Tech Radar 2024

      Le Tech radar 2024 encourage un dialogue continu avec les experts tech et la communauté, essentiel pour naviguer dans l’avenir technologique.

      Le cloud de confiance

      Choisir n’est plus renoncer. Trouvez le juste équilibre entre protection et innovation grâce à notre livre blanc.