Les piliers d’une migration vers le cloud de confiance

Les organisations doivent aujourd’hui définir une stratégie de migration Cloud claire adressant leurs enjeux : d’innovation métier (explorer de nouvelles idées avec agilité), d’efficacité opérationnelle (automatisation, robotisation) et organisationnelle (pilotage par la valeur), de résilience IT et de cybersécurité, et plus récemment de souveraineté, tout en garantissant une transformation « durable » du système d’information. Beaucoup de variables s’ajoutent à une équation déjà complexe que peu d’acteurs semblent encore maîtriser dans son ensemble.

Une maturité digitale inégale des acteurs qui partagent les mêmes enjeux de souveraineté numérique

La maturité des entreprises et institutions publiques concernées est très hétérogène. Certaines sont déjà confortablement installées sur des clouds publics (avec des stratégies Cloud-first ou Cloud-native), d’autres complètent leur SI on premise ou Cloud Privé avec du Cloud public mais uniquement pour certains cas d’usages spécifiques (cloud hybrides, interopérabilité), et certaines ont fait le choix de ne s’interfacer avec aucun des géants américains et opèrent encore intégralement sur leur Cloud Privé/on premise en complète autonomie.

Pourtant, en 2022, 72% des dépenses cloud en Europe étaient destinées à Amazon, Google ou Microsoft [2], ce qui démontre la part de marché conséquente du cloud public.

Un diagnostic de l’existant centré sur la donnée

Chaque projet de migration débute par une phase de diagnostic de l’existant qui vise à réaliser un état des lieux détaillé du parc applicatif, technologique et de l’organisation actuelle. Il conviendra dans un premier temps d’évaluer leur exposition actuelle aux 5 risques spécifiques de souveraineté (sécurité, opérationnel, légal, économique et réputationnel) détaillés dans nos articles précédents) et aussi d’identifier, qualifier et classifier les données, les traitements et les applications afin de déterminer ceux qui ont vocation à rester on premise, ceux qui sont candidats à un Cloud de Confiance et ceux qui peuvent sans risque rejoindre un Cloud public.

Sensibilité de la donnée x typologie de donnée…

Des données sensibles circulent dans chaque système d’information de nos organisations. Alors que la définition officielle d’une « donnée sensible » n’est toujours pas publiée, le périmètre des données sujettes à migration sur un Cloud de Confiance devrait être la combinaison de plusieurs niveaux de sensibilité (de très secret à non-protégé), de typologie de données (données stratégiques métiers, économiques, personnelles (RGPD) et santé (HDS)), et de profondeur / ambition de migration (IaaS, PaaS ou SaaS). L’exercice crucial de qualification et classification des données sera donc une phase clef à prévoir, planifier et à organiser sur quelques semaines, lors des travaux de diagnostic de l’existant. Cette phase permettra ainsi d’identifier et d’isoler les cas d’usages (et jeux de données associés) qui seront candidats pour migrer sur un Cloud de Confiance, mais encore faut -il que les catalogues de services « de confiance » prévus puissent répondre intégralement à ces cas d’usage en offrant des services de bout en bout.

…et alignement avec les catalogues des Clouds de Confiance

Fin 2022, on compte une petite dizaine d’annonces et offres « Cloud de confiance » en Europe, avec des catalogues plus ou moins riches (du IaaS au SaaS qualifiés SecNumCloud SNC). La majorité de ces offres s’appuie naturellement sur Azure, Google, OVH, ou Outscale. Cependant, elles semblent encore assez limitées pour répondre aux process métiers de bout-en-bout (peu de solutions SaaS d’ISV qualifiés SecNumCloud prévu à date), ce qui pourrait frustrer certaines ambitions de migration pour les acteurs les plus appétents et donc renforcer le recours à une stratégie multi-cloud à court terme.

Additionnellement, il est fort possible que d’autres offres viennent s’ajouter sur ce marché très mouvant. Il est alors compliqué pour les organisations de définir une stratégie à un moment donné et de préparer leur migration pendant 12-18 mois alors qu’une offre plus adaptée pourrait remettre en cause leurs choix stratégiques. Il est dès lors important de prévoir une veille concurrentielle ou un « market watch » pour surveiller proactivement les offres de marché, afin de pouvoir ajuster si nécessaire les plans de transformation en cours de route. Par ailleurs, les clauses de réversibilité incluses dans les conventions de service par les fournisseurs qualifiés SNC devront permettre aux organisations d’ajuster leur stratégie de migration en récupérant leurs données et les migrer vers une offre plus adaptée (ou les réintégrer en interne) 

Eléments clés des futurs move to cloud

Les prochaines stratégies de migration devront tenir compte d’éléments clefs tels que :

1. La couverture des 5 risques de souveraineté et l’identification & classification des cas d’usages (et des jeux de données sensibles) candidats à migrer sur un cloud souverain/de confiance
2. Le choix d’architecture : les business cases de migration vers ces solutions sont aussi variés que la maturité et appétence digitale des acteurs, que de la couverture de leur cas d’usages par les offres et leur urgence de se transformer. A date, seule l’approche multicloud semble sortir du lot : elle permet une flexibilité architecturale précieuse dans la répartition des applicatifs (distribuée), au prix d’une difficulté de gestion accrue (opérationnelle, financière), tout en favorisant l’innovation dans des secteurs hautement régulés
3. L’urgence des besoins de migration face à la disponibilité tardive des offres à venir
4. L’assurance de maintenir la même facilité d’intégration et d’usage des services, avec des coûts mesurés et un catalogue de services qui s’enrichira dans le temps pour couvrir des processus et besoins métiers de bout-en-bout
5. Une approche « business driven », aussi bien par le pilotage par les cas d’usage métier que par l’humain au centre (CCoE) et le Target Operating Model (TOM). Et c’est là que le bât blesse car il nous faudra attendre l’arrivée aux catalogues des prochaines solutions SaaS d’ISV qualifiées SNC offrant des solutions plus complètes et verticalisées pour répondre à des cas d’usages et processus métiers, au cœur d’une véritable transformation, et simplifier les choix d’architectures. Les organisations pourront ainsi bénéficier de tout le potentiel du Cloud pour innover et être plus efficient
6. La nécessaire conduite du changement humain pour accompagner la transformation. La souveraineté ne se réduit pas seulement au sous-jacent technique de la plateforme d’hébergement : pour assurer sa durabilité dans le temps, il est nécessaire d’en faire un véritable principe directeur de la transformation (Build) et des futures opérations (Run). Notamment :
   1. La souveraineté doit s’inscrire comme un élément clef le long du cycle de vie applicatif, depuis la conception jusqu’aux opérations, comme le sont la cybersécurité (Security by Design) et l’écoconception (Sustainability by Design) : nous introduisons alors le concept de Sovereignty by Design
   2. Les grands principes et standards d’architecture doivent être revus, et les comités de validation technique (Design Authority) doivent pouvoir qualifier / mesurer la souveraineté
   3. Globalement, les chaînes CI/CD et les pratiques DevSecOps doivent être repensées à la lumière d’un C2C : on parle alors de SovSecOps
   4. Il faut donc assurer la formation des équipes à ces nouveaux principes, et il paraît alors clair qu’en plus du premium d’utilisation d’un cloud souverain/de confiance, des compétences clefs sont à prévoir et maintenir pour garantir la souveraineté

A priori, les projets « move to cloud » devraient continuer de croître en 2023 malgré le contexte économique et géopolitique instable. Les entreprises chercheront des transformations « durables » qui leur permettront de faire plus en dépensant moins, tout en garantissant le contrôle absolu de leurs données. Certes, compléter sa stratégie « move to cloud » avec un cloud souverain/de confiance répondra qu’à certains cas d’usages spécifiques à court terme, mais il permet d’amorcer sa transformation ou de maximiser l’usage du cloud. Si ces futures offres arrivent à gagner la confiance des entreprises privées et publiques, ces dernières pourront alors limiter leurs investissements on premise ou sur leurs clouds privés et s’appuyer sereinement sur le cloud pour opérer, innover, et réduire leur empreinte carbone.