Projets

Cloud de confiance : une question d'équilibre des risques pour l'Urssaf, Advaes et Manpowergroup

Cloud de confiance : une question d'équilibre des risques pour l'Urssaf, Advaes et Manpowergroup
Le cloud de confiance reste une question complexe aux enjeux variables suivant les organisations. En image, l'interview de Jean-Baptiste Courouble, DSI de l’Urssaf.

Pour le Grand Théma sur le cloud de confiance, CIO et Le Monde Informatique plongent dans les enjeux concrets auxquels font face les entreprises. Et soulignent le scepticisme ou les difficultés face aux réponses françaises et européennes.

PublicitéQue comprendre concrètement du cloud de confiance ? Difficile encore aujourd'hui, pour une organisation de savoir si elle est réellement concernée, et si c'est le cas, de trouver chaussure à son pied pour déployer le bon niveau de protection de ses systèmes et données en fonction de la criticité de son ou de ses activités. Nous avons abordé l'ensemble de ces thèmes lors de la première émission de notre Grand Théma CIO / Le Monde Informatique « Objectif cloud de confiance ». Pour en parler, nous avons reçu Jean-Baptiste Courouble, DSI de l'Urssaf, Emmanuelle Olivié-Paul, DG fondatrice du cabinet Advaes et membre du conseil d'administration d'Eurocloud et enfin, Thomas Petit, ex-DSI de Manpowergroup talent solutions France et membre de l'ANDSI.

C'est en pleine pandémie, en 2020, que l'Urssaf a décidé de basculer ses premières applications dans le cloud privé. Son DSI Jean-Baptiste Courouble nous a raconté comment la première transition, sur OpenStack et diverses solutions open source - un projet du nom de PFL V1 (Plateforme de fourniture de services) -, a tant séduit les utilisateurs, que l'organisation a rapidement décidé d'industrialiser son passage dans le cloud, avec RedHat Openshift et Kubernetes. Dans le cadre de son schéma directeur des systèmes d'information, l'Urssaf a ainsi décidé de réaliser tous ses nouveaux projets en cloud first, et va également y transférer l'essentiel de son périmètre applicatif. L'architecture globale de la nouvelle mouture du cloud interne - PFS v2 - s'appuie donc sur Openshift de Redhat, et propose une couche IaaS ainsi qu'une couche PaaS dont des conteneurs Kubernetes orchestrés par Openshift. Les premières applications devraient être disponibles début 2024.

Opérer un cloud commun dans la sphère sociale

Pour le DSI, la question du cloud de confiance se situe dans le bon niveau d'hybridation. Pour trouver l'équilibre juste, l'Urssaf qui s'efforce déjà de suivre la doctrine de l'État en la matière, va aussi travailler avec des opérateurs spécialisés. Autre enjeu depuis 2020, les structures publiques de la sphère sociale (Assurance maladie, MSA, etc.) cherchent à mettre en place une organisation et une gouvernance pour opérer un cloud commun. Pour Jean-Baptiste Courouble, il s'agit de sortir de systèmes cloisonnés pour décider, opérer, mettre en place une organisation ad hoc. Les premières démonstrations techniques de ce cloud mutualisé sont attendues début 2024.


Emmanuelle Olivié-Paul, DG fondatrice du cabinet Advaes et membre du conseil d'administration d'Eurocloud

PublicitéAvec Emmanuelle Olivié-Paul, DG fondatrice du cabinet Advaes et membre du conseil d'administration d'Eurocloud, nous sommes revenus sur les bases du cloud de confiance. Elle a rappelé que ce terme recouvrait non seulement des notions de sécurité et de protection des applications, des SI et surtout des données, mais aussi la résilience, la confiance dans les relations d'affaires, la conformité, le respect de la réglementation, etc. Sans oublier que par essence, le cloud transcende les frontières, et qu'il faut s'assurer de ces degrés de confiance malgré tout. Et comme l'a rappelé la fondatrice d'Advaes, les enjeux ne sont, de toute évidence, pas les mêmes suivant les organisations.

Avant tout une affaire d'État

Seul l'État - et le secteur public - a une souveraineté à défendre, explique-t-elle, comme les entreprises qui travaillent avec lui (comme les EIV) ou des secteurs très régulés comme la santé. Ces structures doivent protéger leur data avec des règles fortes face à de potentielles ingérences de tiers (Patriot Act ou Cloud Act américains, par exemple). Quant aux organisations privées, elles ont besoin de confiance. En particulier lorsqu'elles travaillent dans le cloud public. Les entreprises choisiront leur cloud en fonction d'un équilibre entre le niveau de confiance dont elles ont réellement besoin (niveau dépendant de la criticité et de la sensibilité de leurs données) et le niveau d'innovation requis pour leur transformation numérique et celle de leur modèle d'affaire. Sans oublier, bien entendu, les paramètres de coûts et de gouvernance.


Thomas Petit, ex DSI de Manpowergroup talent solutions France et membre de l'ANDSI

Enfin, pour terminer cette première émission, c'est Thomas Petit, membre de l'ANDSI (Association nationale des DSI), qui nous a fait partager son expérience du cloud de confiance et son scepticisme vis-à-vis des offres françaises et européennes actuelles. Une expérience acquise en particulier en tant que DSI de Manpowergroup talent solutions France et DSI dans la fonction hospitalière. La question de l'hébergement et de la sécurisation des données des patients et des données administratives sensibles s'est ainsi posée à lui lorsque l'informatique hospitalière a été répartie dans les territoires. Il raconte comment la certification HDS a été rapidement trustée par les Américains AWS, Oracle et Microsoft. Difficile de savoir dans ce cas à qui appartiennent les data et si leur sécurité peut être garantie.

Le cloud français pas à la hauteur

Chez Manpowergroup aussi, une entreprise qui travaille avec des structures d'État comme Pole Emploi, les données personnelles hébergées sur AWS ont dû être rapatriées dans un cloud français. Mais pour Thomas Petit, il n'existe pas en France à ce jour de réponse à l'ensemble des besoins auquel un DSI est confronté. Les offres locales s'apparentent davantage à de l'hébergement d'infrastructure, du IaaS ou un embryon de Paas. Loin du niveau proposé par les services managés d'un AWS, par exemple. Lors de cette expérience, Thomas Petit s'est donc tourné vers le partenaire historique français de Manpowergroup, OVH. Mais a dû reconstruire une partie des services en partenariat avec le Français. Augmentation des coûts et de la durée du projet à la clé.

Quant à S3ns (Thales, Google) et Bleu (Capgemini, Orange et Microsoft Azure), Thomas Petit s'accorde avec d'autres DSI pour constater que si la tête de pont de ces associations est bel et bien française, leurs stacks logiciels reposent toujours sur des technologies américaines. Ces approches ne résolvent donc pas totalement, selon lui, la question de la potentielle  captation des data par le gouvernement américain.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis