Vive le Cloud Hybride Souverain, Réversible & Résilient !

Share this post:

Ces dernières années, nous avons vu un focus croissant sur les sujets de souveraineté numérique. Cet environnement a permis de dynamiser un écosystème d’acteurs et d’initiatives. Nous sommes aujourd’hui à un tournant. Au-delà des effets d’annonce, la vision “Cloud de Confiance” du CIGREF autour de trois piliers que sont la sécurité, l’immunité et la réversibilité apparaît aujourd’hui comme la plus pragmatique. Et, si la conception et la fabrication des processeurs reste un point de faiblesse actuel, force est de constater que le logiciel libre et réversible porte une grande part des promesses de notre souveraineté numérique.

La souveraineté numérique est au cœur des enjeux de transformation du secteur public et des opérateurs d’importance vitale. Ces dernières années, plusieurs initiatives sont apparues en France et en Europe (comme le programme GAIA-X¹), et des groupes de travail² de grandes entreprises industrielles se sont constitués pour mieux définir la notion de confiance dans nos systèmes numériques.

Cette dynamique a contribué à un pivot des organisations du tout “Cloud 1st” vers le cloud hybride. Du point de vue des intégrateurs, cela s’est d’ailleurs illustré par la raréfaction des demandes de migration massives (de type “Lift & Shift”). La diversité des données et de leur criticité/sensibilité, l’accumulation des réglementations locales et sectorielles, mais également les enjeux croissants d’innovation et d’agilité, incitent à des usages différenciés des différentes formes de cloud. Au final, une stratégie cloud est un continuum du cloud privé, à l’edge, en passant par le cloud public – chiffré ou non – voire le cloud souverain, pour adresser la diversité des besoins en cloud.

La réglementation au secours de la résilience

Nous vivons dans un monde VUCA³ Volatil, Incertain, Complexe et Ambigu. Les évolutions sont de plus en plus rapides. Les recettes/données d’hier ne sont plus pertinentes aujourd’hui. Les enjeux/problèmes sont de plus en plus interconnectés, et il n’y a pas de solution magique et pérenne à nos challenges / projets. Pour répondre à ce contexte changeant et insaisissable, l’agilité et la résilience sont devenues la norme.

Dans un contexte d’accélération de la menace cyber, il est intéressant de noter une évolution importante dans les approches réglementaires qui mettent de plus en plus l’accent sur la résilience opérationnelle. C’est le cas par exemple avec DORA qui encadre les approches IT pour le secteur financier⁴ pour faire face à des incidents de plus en plus nombreux et potentiellement inévitables. Et, c’est également le cas dans la notion de Cloud de Confiance (CIGREF : Sécurisé, Immune et Réversible) qui dépasse la norme SecNumCloud pour embarquer la notion de réversibilité.

Les risques

Poser une définition de la « souveraineté [comme] l’indépendance, [la] capacité à ne pas se voir imposer la volonté des autres », nous permet de mieux clarifier les différents types de risques pouvant l’impacter. Pour simplifier, on peut en classifier quatre :

• Le risque réputationnel (exposition des données de ses clients).
• Le risque d’espionnage industriel (propriété intellectuelle dévoilée).
• Le risque économique (procès / amende pouvant contraindre l’entreprise concernée).
• Le risque géopolitique (prise en otage de services essentiels au bon fonctionnement d’un pays).

Ce qui est intéressant, c’est que la probabilité d’occurrence de ces différents risques a fortement évolué ces dernières années. C’est le cas – en particulier – pour le risque géopolitique, qui devient de plus en plus réaliste aujourd’hui. C’est pourquoi la notion de cloud de confiance devient aussi critique pour les fonctions régaliennes, notre service public et nos opérateurs nationaux d’importance vitale. Pour assurer notre souveraineté numérique et la continuité de service en période de crise, il est indispensable de penser nos systèmes pour pouvoir se protéger des menaces et reprendre la maîtrise de nos données et nos applications en les soustrayant à la dépendance d’un tiers (cloud service provider / software provider).

Les options

La mise en place de la norme SecNumCloud a contribué à accélérer le développement de l’écosystème Français en matière de cloud de confiance.

• D’un côté, les cloud français historiques qui ont été les premiers à certifier leur offre IAAS comme OVHcloud, Outscale ou Cloud Temple.
• D’un autre côté, les cloud providers américains comme Google et Microsoft, qui ont noué des partenariats locaux avec des grandes entreprises françaises pour rendre – à terme – l’ensemble de leurs services disponibles sur des infrastructures locales, opérées par des entreprises locales, avec des majorités capitalistiques locales. Ce sont les offres S3NS (Google Cloud + Thales), et BLEU (Microsoft Azure, Cap Gemini et Orange).
• Et enfin, les cloud providers français non certifiés comme Clever Cloud ou Scaleway. Et ceux qui souhaitent le devenir d’ici à la fin de l’année (NumSpot, Orange).

Nous avons actuellement un moment de marché très favorable à une poignée d’acteurs français SecNumCloud. En attendant l’arrivée de la richesse des services natifs d’Azure et Google Cloud sur BLEU et S3NS, ils sont en effet les seuls à pouvoir répondre aux exigences de souveraineté de l’ANSSI avec une offre de service encore restreinte (IAAS). Leurs clients du service public ou des OIV ⁵se tournent donc vers des grands acteurs du logiciel libre (comme RedHat) pour leur proposer des versions packagées⁶ et accélérer la construction d’un continuum cloud hybride entre leurs infrastructures existantes, le cloud souverain, voire des cloud public (AWS, Azure, Google Cloud ..) pour des applications et données peu sensibles.

L’open source : un choix pérenne ?

L’avantage de cette approche basée sur l’open source, c’est qu’elle est pragmatique. Elle permet de répondre à une contrainte réglementaire à court terme, tout en adressant le sujet de la réversibilité à moyen ou long terme. Il est en effet possible de reprendre la main⁷ sur le code source de ce cloud hybride et donc de le faire évoluer pour adresser les changements de contexte que nous pourrions rencontrer dans le futur. L’inconvénient principal, c’est que cela peut impacter significativement les coûts et la temporalité d’un projet cloud. C’est pourquoi les versions entreprises⁸ sont plébiscitées par les clients. Elles permettent
l’accélération du développement/déploiement de fonctions avancées, avec une portabilité totale entre différents acteurs du cloud (S3NS, BLEU… ou un autre cloud français, européen ou américain). En somme, cette approche de Cloud Hybride illustre une maîtrise de sa souveraineté. C’est pourquoi, on retrouve des versions de RedHat managées dans la plupart des acteurs du cloud souverain ou américain.

Le succès croissant de la combinaison de cloud Français avec du logiciel libre est donc bien réel pour le secteur régalien et des OIVs. Et l’arrivée des cloud sous licences américaines ne devrait pas modifier cette trajectoire. En effet, le risque principal pour ces clients est géostratégique. Sur leurs services critiques, l’enjeux de souveraineté et de réversibilité prévaudra donc toujours face aux autres. D’ailleurs, la communauté open source n’a rien à envier aux éditeurs en ce qui concerne l’innovation. Elle représente des dizaines de millions de développeurs⁹ dans le monde, soit des centaines de fois plus que l’ensemble de tous les ingénieurs des cloud réunis. Une grande partie des entreprises du software contribue d’ailleurs activement au logiciel libre en rendant public¹⁰ leur code dans les années qui suivent leur création. Le choix du logiciel libre, et des accélérateurs qu’offrent les versions packagées restera donc également un vecteur d’innovation sur le moyen terme.

C’est donc sur les services moins critiques, ou/et sur les industries moins sensibles que se positionneront les cloud américains sous licence en étant des vecteurs d’innovation rapide et à l’échelle.

Vive le Cloud Hybride Souverain, Réversible & Résilient !

^{Notes :}

¹ https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html

² CIGREF : Référentiel du cloud de confiance. https://www.cigref.fr/le-cigref-publie-son-referentiel-du-cloud-de-confiance

³ VUCA : Volatility, Uncertainty, Complexity, Ambiguity. https://www.vuca-world.org/

⁴ A noter également que ces contraintes réglementaires contribuent à l’émergence de cloud industriels spécialisés incluant des solutions métiers conformes by design. Comme le IBM Cloud for Financial Services.

⁵ Opérateurs d’importance vitale.

⁶ Versions intégrées, validées, testées, sécurisées et administrables, avec engagement de maintenance longue durée, Support 24×7, et certifications matérielles et logicielles tierces.

⁷ L’ensemble du code source packagé sur RedHat est par exemple disponible à ces clients. Ils sont donc en capacité de l’auditer, voire de l’adapter à leurs besoins.

⁸ Les versions entreprises de RedHat sont architecturées et supportées sur l’ensemble des typologies de cloud (on-premise et public) avec des versions managées (par le CSP ou par un intégrateur de confiance) sur un grand nombre d’acteurs.

⁹ Près de 99 % des bases de code auditées contiennent une certaine quantité de code open source.Forrester Research: The State of Application Security, 2021.

¹⁰ Quelques exemples emblémathiques incluent Kubernetes, Tensorflow, Cassandra, …

Exemple de Lockheed Martin utilisant l’intelligence artificielle sur des technologies Red Hat (Edge Device) pour un drone de sécurité autonome pour illustrer les capacités dans le domaine militaire : https://www.linkedin.com/feed/update/urn:li:activity:6990691429182226432

Exemple de technologies RedHat dans le domaine spatial :                                                             https://wraltechwire.com/2022/05/25/beam-that-data-up-ibm-red-hat-taking-cloud-services-in to-space/