Être ou ne pas être dans le cloud. Tel serait le dilemme qui se pose de plus en plus pour de nombreuses entreprises, PME ou de plus grande taille, tous secteurs confondus. Galvaudé, parfois mal compris, le cloud – ou l’usage de services informatiques à distance par l’intermédiaire d’un réseau, la plupart du temps via internet – a cependant étendu son spectre à tel point qu’il concerne une cible quasiment illimitée. À condition que les fournisseurs de services ou plutôt de solutions puissent s’adapter aux besoins des utilisateurs.
«L’évolution de l’organisation des entreprises avec lesquelles nous travaillons montre que, de plus en plus, les équipes travaillent sur des sites séparés voire dans plusieurs pays, ce qui rend inévitable une forme ou l’autre de cloud», constate Gary Cywie, counsel IP/TMT au sein du cabinet Allen & Overy. La question de l’étendue du phénomène se pose donc d’emblée.
Tout est-il cloudisable?
«Il n’y a pas de limite technique à la ‘cloudisation’ des données», indique Vincent Lekens, président de la fédération des intégrateurs. «On peut en revanche, dans certains cas, vouloir limiter la démarche en fonction des propres contraintes de l’entreprise ou de ses activités spécifiques.»
Sur le papier, tout est réalisable, mais cela nécessite du temps.
Patrick Njiwoua, Responsable informatique (Laboratoires Ketterthill)
«On peut tout mettre dans le cloud, mais on se rend compte que la réalité est différente et surtout, il y a des questions concernant la législation qui doivent être réglées», déclare Patrick Njiwoua, responsable informatique des Laboratoires Ketterthill. «Sur le papier, tout est réalisable, mais cela nécessite du temps, une approche par métier, un dialogue avec le fournisseur en fonction des résultats attendus. Il ne faut jamais perdre de vue le résultat obtenu en fonction des attentes initiales.»
Une absence de limite technologique et juridique qui ne doit donc pas faire oublier le besoin de définir une approche et, plus globalement, une stratégie pour le passage et l’usage du cloud. Celui-ci peut jouer un rôle de catalyseur des besoins qui sont alors reconsidérés. À commencer par la question délicate et centrale de la localisation et l’accès aux données. Leur récupération en cas de fin de contrat ou de faillite du prestataire doit également être évoquée en amont.
Le secteur de la santé est seulement mature pour franchir la barre du cloud computing.
«Il faut que ces nuages restent identifiés sur le territoire du Luxembourg», déclare Hervé Barge, le directeur général de l’Agence eSanté, chargé de mettre en place le dossier de soins partagé (DSP), «un dossier électronique d’échange et de partage de données de santé, entre et pour les professionnels de santé intervenant auprès du patient», comme l’indique le site de l’agence. «Le secteur de la santé est seulement mature pour franchir la barre du cloud computing. Ce retard est sans doute lié à notre responsabilité collective en matière de protection des données individuelles. Étant une agence jeune (l’agence a été créée en 2006, ndlr), nous avons abordé la démarche relativement tôt, en nous appuyant sur le haut niveau de service proposé au Luxembourg. L’agence étant gestionnaire des données médicales, nous avons intégré de façon intrinsèque des procédures et contrôles en étroite collaboration avec la Commission nationale de protection des données pour répondre aux enjeux du respect de la vie privée.»
Les possibilités du cloud nous amènent à recentrer notre mission.
Hervé Barge, Directeur général (Agence eSanté)
«Nous avons profité de notre déménagement à Belval pour repenser notre approche du cloud et, plus généralement, nos besoins informatiques», explique Patrick Njiwoua. «Cette réflexion a abouti à une approche hybride avec l’externalisation des données non critiques, y compris la messagerie, et la mise en place d’un centre de données local pour des serveurs qui soit ne supportent pas la virtualisation, soit ont des difficultés avec une augmentation de la latence dans leurs communications avec les analyseurs. Cette redéfinition des besoins de l’entreprise et les possibilités du cloud nous amènent à recentrer notre mission sur la valeur ajoutée que nous pouvons apporter au cœur de métier de l’entreprise.»
Mobilisant de nouvelles expertises, le cloud a modifié le rôle du département informatique au sein de l’organisation. «Le cloud a aussi participé à l’évolution du métier de CIO qui doit désormais avoir une réponse ‘usages’ plutôt que de gérer des serveurs. Le cloud a permis de repenser les architectures traditionnelles en permettant aux entreprises, institutions, etc. de répondre aux différents challenges, dont l’évolution très rapide des technologies. Il est d’ailleurs difficile de conjuguer tous les défis, en particulier toutes les différentes expertises nécessaires à une entreprise, uniquement en local», ajoute Hervé Barge.
Tout serait donc cloudisable, mais avec certaines réserves techniques, juridiques, voire psychologiques. Avec une distinction à opérer selon les couches.
Le vrai risque serait de vouloir mettre tout dans le cloud.
«Il faut bien mesurer et pondérer les flux de données pour prendre une décision», tempère Patrick Njiwoua. «Dans la pratique, le vrai risque serait de vouloir mettre tout dans le cloud, au risque de ralentir certaines opérations et d’aller vers une augmentation non souhaitée de la latence.»
BYOD et télécoms: une alliance efficiente?
BYOD et télécoms d’un côté, cloud et télécoms de l’autre, la matrice commune qu’est le cloud à ces évolutions doit avant tout être analysée en fonction de l’usage au sein de l’entreprise. Avec une déclinaison de la stratégie définie globalement.
La première barrière est la performance des télécoms.
Vincent Lekens, Président (Fédération des intégrateurs)
«On remarque que les gens l’utilisent dans la sphère privée sans vraiment connaître la teneur du service auquel ils recourent», ajoute Gary Cywie. «Les entreprises sont davantage sensibilisées, mais il est important de garder à l’esprit certains aspects contractuels pour aborder les véritables problématiques et en particulier la confidentialité et la vie privée, la disponibilité des données, la propriété de ces données, le partage des responsabilités.»
«L’émergence du cloud, favorisée par internet, est allée de pair avec une connectivité accrue des collaborateurs, facilitée par les devices mobiles», ajoute Patrick Njiwoua de Ketterthill. Depuis l’avènement du téléphone mobile, le besoin de communiquer tout le temps se fait sentir. Les entreprises doivent aussi se positionner dans ce contexte. Nous l’avons expérimenté avec le déploiement d’un wifi interne et séparé selon que l’on est dans nos murs en tant que client ou membre de l’équipe. Ceci n’est possible qu’en déployant les infrastructures télécoms ad hoc.»
Quant à la tendance du BYOD, les avis sont plutôt partagés. «L’usage du device de l’employé pour des besoins privés peut s’expliquer si la plateforme est sécurisée», affirme Patrick Njiwoua.
«Les nouvelles applications permettent, via un desktop virtuel, de proposer à l’utilisateur et donc à l’employé un front end personnalisé, mais sécurisé pour les éléments qui se rapportent à l’entreprise», ajoute Vincent Lekens.
«Je recommanderais une solution de type ‘conteneurs’ sur le device permettant une ségrégation entre les données privées et les données professionnelles», renchérit Gary Cywie. «Il se pose tout de même la question de la confidentialité des données privées offerte par ce type de solutions.»
«Je ne vois pas d’inconvénient à disposer de deux outils différents pour marquer clairement la séparation entre vie privée et de l’entreprise, la tentation serait alors trop grande de consulter ses alertes en soirée», ajoute Hervé Barge.
L’accès à l’information et une connectivité omniprésents ne sont pas sans poser des questions juridiques.
Gary Cywie, Counsel IP/TMT (Allen & Overy)
«L’accès à l’information et une connectivité omniprésents ne sont pas sans poser des questions juridiques, notamment sur le plan du droit du travail: réglementation de la durée du temps de travail ou harcèlement moral par exemple, si la philosophie de l’entreprise incite à travailler à toute heure, même le week-end ou pendant les congés», ajoute Gary Cywie.
Une émergence du BYOD et une explosion de l’usage des devices mobiles qui amènent autant de questions éthiques et culturelles que de problématiques techniques.
«Certains acteurs conservent les données sensibles chez eux, mais sans les dupliquer ni appliquer les bonnes pratiques en matière de sécurité, avec un risque de perte de valeur», ajoute Gary Cywie. «Le cloud peut alors présenter une réponse stratégique à un problème de stockage et d’archivage. C’est donc une réponse à une analyse de risque.»
«Je note par ailleurs que les entreprises locales sont très regardantes par rapport aux aspects contractuels des providers locaux de télécoms, alors qu’elles n’hésitent pas à partager des contenus par des plateformes globales, sans en connaître les termes d’usage en détail», ajoute Vincent Lekens.
L’écosystème réglementaire est-il favorable au cloud?
Au Luxembourg ou à l’étranger, la perception du cloud ne serait pas la même en fonction de la localisation des données. D’où l’importance de disposer d’un cadre réglementaire encadrant le stockage de celles-ci et leur maintien sur le territoire national.
Les données ont toute leur valeur au Luxembourg, nous devons continuer à mettre cette approche en avant à l’international.
«Il ne faut pas oublier que le Luxembourg a placé la conservation des données au cœur de son cadre légal en étant l’un des seuls pays qui donnent la priorité à leur récupération lors de la cessation d’activité d’un prestataire», rappelle Vincent Lekens. «Les données ont toute leur valeur au Luxembourg et nous devons continuer à mettre cette approche en avant à l’international.»
«La CSSF donne souvent l’impression qu’il est obligatoire de stocker les données au Luxembourg, mais il faut rappeler que le stockage peut se faire ailleurs en Europe, à condition que la clé de cryptage soit au Luxembourg», ajoute Gary Cywie.
Un cadre légal et la plus haute densité de data centers Tier IV en Europe qui ont rendu, depuis une dizaine d’années, l’offre de coffres-forts de données crédible sur le plan international. Reste désormais à élargir la palette de services en ne se limitant pas au standard Tier IV qui n’est pas nécessaire pour tous les secteurs d’activité, avec les tarifs correspondants.
«Le Luxembourg, qui est plutôt un bon élève concernant les délais de transposition des directives européennes (en matière de signature électronique par exemple), s’est doté depuis le 25 juillet 2015 d’une nouvelle et innovante loi sur l’archivage électronique. Celle-ci modifie le Code civil et abolit la primauté de l’original à l’égard d’une copie électronique d’un document même lorsque l’original subsiste», ajoute Gary Cywie. «Les retombées dans le champ du cloud dépendront notamment des législations et normes qui seront adoptées au niveau international (sachant qu’au niveau européen, le règlement eIDAS prévoit déjà la non-discrimination des copies numériques). J’ose espérer que le législateur a pris la bonne direction et que cette loi apportera un avantage compétitif pour le pays.»
Il y a une marge entre la théorie et la pratique quant à l’archivage électronique.
«Il y a certainement une marge entre la théorie et la pratique quant à l’archivage et au traitement de copies électroniques», s’interroge Hervé Barge. «Il faudra s’assurer que toutes les parties prenantes soient capables au niveau technique et administratif d’intégrer les informations.»
«Il manque un statut propre aux professionnels de la santé», ajoute Patrick Njiwoua. «Le statut PSF est quelque peu restreignant pour certaines structures et nous serions demandeurs d’un statut propre à notre secteur.»
Un cadre légal complet quant à la conservation de données et qui devrait être adapté en fonction des besoins des acteurs économiques. Si les responsables politiques parviennent à transposer les besoins en cadre réglementaire rapidement afin de conserver les avances concurrentielles…
Et Vincent Lekens de conclure: «Nous disposons d’un environnement extraordinaire, mais il faut s’assurer que nous disposons des ressources suffisantes pour le faire évoluer et y évoluer. Le système éducatif doit s’adapter pour coller aux réalités des nouveaux métiers afin de garantir le succès d’une économie toujours plus diversifiée.»