Piloter le cloud et les services SaaS : est-ce dire adieu à la dette et aux dépendances techniques ? Comment gagner en indépendance et en souveraineté désormais ?
Damien Hecquet, Architecte d’ Octo Technology, Anthony Marchand, co-fondateur de Log’In Line et Eugène Ngontang, Chief Research & Technology Officer de Spitzkop Systems ont répondu à nos questions et à celles des auditeurs du Forum Cybersécurité IA.Cloud, le 8 avril dernier à Paris Expo.
Ils ont distingué plusieurs prérequis pour garder le contrôle du système d’information : l’état des lieux, la cartographie des traitements et des données s’imposent. Et ils ont partagé quelques enseignements des migrations cloud récentes chez leurs clients, où l’enjeu n’est pas seulement technique, mais désormais réglementaire, financier et stratégique.
Des cultures informatiques disparues
Daniel Hecquet rappelle que les projets de migration cloud révèlent souvent un trou de mémoire : l’entreprise veut moderniser son SI, mais elle découvre surtout qu’elle a perdu une partie de la connaissance de son patrimoine applicatif. Certaines applications critiques, vieillissantes, ont été abandonnées par leurs responsables ou maintenues à minima par des éditeurs qui n’en assurent plus vraiment l’évolution.
« Le travail de l’architecte et des équipes applicatives avant toute migration move-to-cloud, consiste à faire une évaluation préalable de tout le patrimoine applicatif, » recommande-t-il. A ce stade, mieux vaut ne pas se focaliser uniquement sur l’obsolescence des applications ; l’examen des données, de leur sensibilité et des contraintes réglementaires pourra s’avérer précieux. Cette cartographie initiale apparaît comme la première arme contre la dette technique.
Pour Anthony Marchand, cette étape doit devenir systématique. Ses missions, centrées sur des entreprises dépourvues d’équipe infrastructure l’amène à voir des organisations plus petites, mais confrontées aux mêmes pièges que les grands groupes. Le problème ne tient pas seulement au socle technique, mais aussi aux coûts et à la capacité de projection sur d’autres infrastructures. « Il faut bien cerner le périmètre initial avant de se mettre en ordre de marche », conseille-t-il. Selon lui, aucune stratégie cloud ne peut faire l’économie d’une prévision budgétaire fine, surtout lorsque la souveraineté s’invite dans les critères de sélection.
Eugène Ngontang défend une autre piste pour garder le contrôle des migrations applicatives. Elle consiste à abstraire les complexités du modèle cloud natif pour ne plus les subir. Son approche d’ingénierie de plateforme repose sur une idée simple, mais exigeante. Sans usine logicielle, migrer vers un cloud ne fera que déplacer le problème. Il recommande plutôt, après un démarrage chez un hyperscaler, de déplacer les charges applicatives vers un ou plusieurs clouds souverains en Europe, sans rupture majeure : « L’hébergeur, du coup, n’a plus qu’un seul rôle : héberger la charge de travail », affirme-t-il. Cette piste menant au cloud distribué suppose toutefois des efforts d’industrialisation, de sécurisation et d’automatisation poussés.
La souveraineté comme critère de gouvernance
Anthony Marchand constate que le sujet de la souveraineté surgit dès qu’il bloque une vente, lorsque le client final de son client refuse qu’une solution soit hébergée chez un hyperscaler étranger notamment. Daniel Hecquet souligne l’exposition croissante aux juridictions extraterritoriales et aux dépendances en cascade des éditeurs et de leurs hébergeurs : « On se sent forcément plus exposés qu’auparavant », dit-il, en rappelant la nécessité d’anticiper de tels risques avant toute migration cloud ; plus qu’un simple choix d’hébergement, c’est une question de maîtrise du périmètre IT. La standardisation reste un levier décisif pour maintenir la qualité de service et la sécurité. Elle simplifie le maintien en conditions opérationnelles et en conditions de sécurité, dans des environnements souvent hybrides, voire multicloud, avec des services managés et des infrastructures non opérées par l’entreprise.
Cette complexité pousse également à repenser les plans de reprise d’activité. Une part significative des projets de migration intègre désormais un PRA dès l’origine, parfois avec un temps de reprise d’activité de quelques minutes seulement. Les entreprises clientes des trois intervenants veulent pouvoir redéployer leurs applications critiques dans un environnement souverain, en cas de besoin.
L’IA rebat les cartes
L’IA ajoute une couche supplémentaire à prendre en compte. Les trois experts reconnaissent son potentiel d’accélération, mais soulignent aussi un risque de shadow code et de perte de maîtrise. Pour Anthony Marchand, elle peut aider à produire plus vite du code ou des process d’infrastructure as code, mais oblige à vérifier davantage, tester davantage, et gouverner davantage. Le danger tient à la dilution de la responsabilité technique autant qu’aux biais possibles.
Eugène Ngontang poursuit : « La souveraineté n’est pas une fonctionnalité, c’est une question d’architecture. » A ses yeux, l’IA ne doit pas piloter seule la transformation ; elle doit intervenir dans un cadre conçu en amont, avec des garde-fous cryptographiques et matériels.
Cette exigence de preuve technique se retrouve dans les certifications citées au cours des échanges, SecNumCloud en particulier. Daniel Hecquet y voit un socle solide, même s’il demeure difficile de remonter toutes les couches de l’infrastructure. Il signale toutefois l’émergence des hébergeurs français engagés dans cette labellisation. Eugène Ngontang plaide, de son côté, pour une sécurité ancrée dans le silicium avec des automatismes visant à garantir qu’un hébergeur quelconque n’aura jamais accès aux données en mémoire.
Pas de pilotage souverain sans architecture
En résumé, la maîtrise des migrations cloud et des services SaaS exige d’investir dans la cartographie, la standardisation, l’automatisation et la portabilité des charges applicatives. Si le cloud public a permis d’accélérer des services à grande échelle, via un pilotage de ressources à la demande, la prochaine étape pour reprendre le contrôle consiste à replacer dans un contexte maîtrisé les innovations permises par le cloud et l’edge computing.
