Une amorce de Cloud de confiance
Jusqu’à présent, de très nombreuses organisations publiques et privées en France, pour qui la donnée est un sujet sensible, n'utilisaient pas lecloud public. En effet, les fournisseurs de services cloud, en majorité américains et non domiciliés en France, sont soumis à des lois extraterritoriales. Grâce à S3NS, ces organisations pourront à terme bénéficier d’un Cloud souverain, tout en utilisant les technologies de Google Cloud. Pour une sécurité sans faille des données, S3NS a lancé une première fonctionnalité : les contrôles locaux. Celle-ci permet de faire en sorte que les données sensibles puissent être hébergées chez Google Cloud, tout en étant chiffrées par ses soins.En effet, les clés de chiffrement sont hébergées de façon sécurisée chez Thalès et inaccessibles à Google. A terme, les datacenters de S3NS seront équipés des technologies et services les plus avancés des deux partenaires (Thalès et Google) tout en étant déconnectés du réseau global du géant américain. Ils constituent ainsi un Cloud de confiance, avec des datacenters situés en France, opérés par du personnel français, permettant une sécurisation optimale des données et répondant aux critères du label SecNumCloud de l’ANSSI.
Une cohabitation de deux landing zones Cloud
Les organisations souhaitant migrer leurs données sensibles vers ce nouvel environnement devront faire cohabiter deux zones, ayant chacune leur spécificité : une zone de cloud public, qu’on appellera Google Cloud Vanilla (un terme qualifiant une technologie d’origine, c’est-à-dire non modifiée) et une arborescence avec les contrôles locaux de S3NS renforcés, dans laquelle elles choisiront d’héberger leurs données sensibles. Ce type d’environnement ne sera pas sans apporter son lot de complexité. Les organisations qui souhaitent commencer avec S3NS devront mettre en place des environnements technologiques construits suivant les bonnes pratiques, standardisés et normalisés, qu’il s’agisse, entre autres, de sécurité, d’identité, de réseau, d’organisation ou de facturation.Pour réussir cette transition, avant-même de parler de migration technique et de construction de la feuille de route vers ces environnements, les entreprises concernées auront besoin d’acteurs qui les accompagnent avec une expertise spécifique de bout en bout, notamment autour de la classification de la donnée. Il est, en effet, essentiel de bien connaître son parc applicatif et sa classification.
Une classification des données indispensable
Quelles données faut-il mettre du côté des contrôles locaux (Google Cloud géré par S3NS) et lesquelles doivent être gardées côté cloud public de Google ? Pour plus de facilité, les entreprises peuvent aussi décider de ne rien mettre sur le cloud public et de n’utiliser que la partie contrôles locaux de S3NS dans un premier temps. Quelle que soit leur décision, il y a une vraie réflexion à avoir sur la typologie de données dont on dispose et son éligibilité pour aller vers un espace ou un autre. Il y a tout intérêt à laisser les données non confidentielles sur le cloud public, moins cher et moins contraignant, d’où l’intérêt de se faire accompagner pour effectuer ce tri.La question cruciale à se poser est la suivante : quel est le degré de sensibilité de la donnée concernée ? Il est ainsi possible d‘identifier celles qui doivent être migrées en priorité dans les contrôles locaux et de construire les environnements en fonction de cette classification. Les données étant associées à des applications, il sera nécessaire de définir quelles applications seront éligibles pour être migrées au niveau des contrôles locaux.
L’importance de l’acculturation, de la formation et de l’automatisation
Si une organisation souhaite utiliser les contrôles locaux de S3NS alors qu’elle n’a jamais utilisé Google Cloud auparavant, une acculturation de l'entreprise au sens large est indispensable, en même temps qu’une formation des experts qui seront en charge de cette nouvelle plateforme. L’accompagnement doit se faire du point de vue des compétences. Une formation pointue doit être mise en place pour l’équipe qui aura la charge de cette plateforme, notamment pour les sensibiliser aux risques cyber et les aider à se familiariser avec les bonnes pratiques FinOps d’optimisation des coûts et de maîtrise de la consommation des ressources.Dans cette perspective, plutôt que de confier toutes les clés du projet aux experts accompagnants, il est préférable de travailler avec eux en Pair Programming, c’est-à-dire à quatre mains. Cette approche permettra aux équipes en place de monter en compétence aux côtés des experts, ces derniers n’ayant pas vocation à rester indéfiniment dans l’entreprise, en tout cas pas avec la même taille d’équipe. Pour éviter les vulnérabilités et les risques cyber, il est essentiel d’intégrer la sécurité dans toutes les étapes de la construction des infrastructures cloud. Il est également recommandé de toujours privilégier l’automatisation, notamment en utilisant l’Infrastructure as Code (IaC) et les chaînes de CI/CD.
Pour réussir cette migration complexe et à fort enjeu vers une première amorce de Cloud de confiance, les organisations doivent se faire accompagner par des experts. Elles capitaliseront ainsi sur les deux environnements au mieux de leurs intérêts et de ceux de leurs clients. Néanmoins, pour que leurs équipes internes soient autonomes à l’issue de la migration, les organisations doivent les former et faire en sorte que la connaissance leur soit transmise, au fur et à mesure de l’avancement du projet.
Par Seifeddin Mansri, CTO Cloud chez SFEIR