Cloud de confiance
17 Mai 2021
17 Mai 2021
Un besoin nouveau émerge sur le marché : les entreprises entendent en effet profiter « en confiance » des bénéfices du cloud, c’est-à-dire en maîtrisant les risques, posés notamment en termes de souveraineté et mis en lumière par la dépendance technologique aux fournisseurs de cloud américain ou chinois. C’est la raison pour laquelle se dessine une tendance forte autour d’un cloud hybride qui articule briques de confiance pour les applications sensibles et puissance du cloud public, au service de la transformation digitale des organisations et des modèles. C’est essentiel : le cloud embarque nativement un niveau sécurité qui est le standard nécessaire de l’"économie de la confiance", c’est-à-dire de l’économie digitale, de l’économie de plateforme.
Le cloud représentera 45% des dépenses IT d’ici 2024
La nature des risques sera nécessairement amenée à évoluer dans les années à venir, mais elle est aujourd’hui de 4 ordres :
Face à ces risques et à la demande des entreprises de solutions de mitigation, l’offre de cloud de confiance émerge – en ce début d’année 2021 - autour de trois axes :
Chiffrement des données, détention des algorithmes et clés de chiffrement.
Territorialité des centres de données (en France) et nationalité des opérateurs et de leur personnel.
Obligation de transparence des accès aux données, respect des réglementations régissant l’entreprise cliente.
En parallèle à ces réponses, des normes se développent de plus en plus fréquemment à l’initiative de régulateurs sectoriels ou nationaux et donnent lieu à une normalisation des réponses (ISO 27001, SecNumCloud) sans que ces normes s'imposent forcément aux acteurs. Le projet GAIA-X cristallise une partie de ces attentes et de ces réflexions : le 29 mars dernier, GAIA-X a annoncé ses 212 premiers membres, ainsi qu’une série de règles qui s’applique pour tous, y compris les GAFAM et un fournisseur chinois qui a été accepté comme membre.
Ces solutions de confiance s’accompagnent aussi de conditions et de contraintes qui doivent être considérées au regard de leurs bénéfices stratégiques :
De manière concrète, l'offre de cloud de confiance va se structurer autour de 3 grands pôles :
La stratégie d’une entreprise face au risque doit être définie en s’appuyant sur une segmentation des applications et données selon les niveaux de risques (sensibilité des données, contraintes réglementaires, besoin de technologie avancée, acceptabilité de surcoûts…), puis sur la définition d’une réponse qui va affecter applications et données aux différents types de cloud (Public standard, Fournisseurs américains avec renforcement, Fournisseurs nationaux, cloud privé). Les deux étapes suivantes consistent à spécifier le niveau de réponse « de confiance » pour chacun de ces types de cloud et à procéder à l’analyse des surcoûts et des risques de complexité liés à la gouvernance de cloud multiples.
Le terrain technologique, concurrentiel et réglementaire qui structure la réflexion autour du cloud de confiance évolue très rapidement et très régulièrement. Des changements sont notamment attendus pour 2021 dans un contexte en permanente redéfinition qui doit amener les entreprises à s’approprier la problématique en profondeur, pour définir sa posture propre et de pouvoir décoder de manière agile tous ces changements.
A propos des auteurs