Yann Jouveneaux, DSI du groupe Sakata sur la zone Europe, Moyen-Orient et Afrique, revient sur le sujet du cloud et nous livre sa vision sur cette problématique phare. Sakata, groupe japonais, de 2000 personnes environ, réparti sur 42 sites dans le monde, produit et distribue des semences de légumes et de fleurs (non OGM).
Pas de cloud sans réversibilité !
Le Groupe Sakata utilise le Cloud sous toutes ses formes depuis déjà environ 6 ans, « du cloud privé au cloud public à IaaS, au SaaS sans oublier la partie sécurité qui est liée » souligne Yann Jouveneaux qui gère plus particulièrement 13 sites dans 8 pays soit plus de 400 utilisateurs, avec un système informatique très industrialisé (5 personnes), et des processus industrialisés avec la mise en place de best practices.
Du cloud public (messagerie sous Office 365), du SaaS (ressources humaines, gestion du temps), du IaaS (infrastructure clé sur un datacenter à Montpellier), tel est le Cloud vécu au quotidien par le service informatique de Yann Jouveneaux.
La réversibilité avant tout
« Un des problèmes du Cloud est la réversibilité » explique Yann Jouveneaux. Et de conseiller aussitôt « Il ne faut pas se lancer à corps perdu dans des projets de grande envergure sur le Cloud, sans avoir la garantie de pouvoir revenir en arrière ». Tout peut arriver, problème financier, problème de support, problème d’outil, problème de rachat… Il faut donc se prémunir et mettre en place une infrastructure similaire en cas de soucis. Sinon, le DSI prédit « la vague des naufragés du Cloud » un jour prochain… Alors que faire ? Face à ce constat, Yann Jouveneaux et son équipe ont fait des choix et ont mis en place un certain nombre de solutions afin de pallier ces contraintes de sécurité. Pour les couches critiques (comme les ERP), il est bon de rester propriétaire du hardware et du software, et c’est ce que le Groupe Sakata a fait en utilisant des services de type cloud avec un contrat spécifiant, en cas de problème, le rapatriement des machines en 48 heures soit en interne (en réactivant par exemple les anciennes salles de datacenters), soit en se dirigeant vers un hébergeur en urgence, « c’est une solution pour disposer ainsi de la réversibilité qui fonctionne » confirme Yann Jouveneaux. Dans cette structure, tous les sites sont industrialisés avec un type de services (connexion VPN à travers un firewall), et avec des couches techniques drivées par le datacenter central. L’accès aux fichiers à travers le cloud doit se faire à travers une bande passante qui fonctionne efficacement (sans aucun problème de débit…) ! Aussi, cet accès, ici, chez Sakata, se réalise de manière sécurisée sans utiliser de couche cloud : tout se passe au niveau local et se retrouve au niveau du datacenter par les sauvegardes.
Sur la partie Cloud privé, les systèmes de firewall doivent être très puissants, seuls les protocoles qui sont censés être utilisés, sont ouverts.
« Tout ce qui est critique pour l’entreprise n’est donc pas partagé » précise Yann Jouveneaux. Autre couche, le cloud public pour la messagerie. Avec deux niveaux de services, le Groupe Sakata peut revenir facilement dans les archives de la messagerie et dispose également d’une réplique locale sauvegardée des données, deux éléments clés préconisés par Yann Jouveneaux. Le risque est donc très limité pour la messagerie sur le cloud public.
L’analyse de risques
Du constat à la mise en place, il n’y a qu’un pas. Aujourd’hui, Yann Jouveneaux note un alignement très fort entre le métier et l’informatique, puisque le taux de satisfaction utilisateurs, mesuré par les Ressources Humaines, se situe entre 92 et 97 %. L’outil requis est ici le Service Form. Dès qu’une demande est faite, un chef de projet métier et un chef de projet informatique se concertent pour remplir ce Service Form. Il s’agit d’un descriptif du service à fournir accompagné de questions courtes obligatoires à se poser. Une réponse simple et non technique du métier est requise pour assurer un parfait alignement entre le métier et l’informatique.
L’analyse de risques conduite de cette manière fonctionne en se basant sur des critères de service qui clarifient d’une manière commune entre le métier et l’informatique, l’attente du service en question.
Quelques suggestions bien utiles
Ne pas se poser de questions du tout, notamment sur les cas les plus classiques, serait tout simplement irresponsable. Il faut partir des grands sinistres majeurs (incendie, inondation, non accès des voies…) et s’interroger pour prendre en compte une position, avant de songer éventuellement à l’investissement. Qu’est-ce qui est critique ? Que ferait-on si cela se produisait ? Qui fait quoi ? Qui coordonne ? Dispose-t-on d’un stock d’urgence (portables, routeurs…) qui permettrait de réagir et de travailler ?
Il est grand temps de se détacher des idées reçues : les solutions de reprise après sinistre à mettre en place ne sont pas forcément très coûteuses « Il n’est pas nécessaire de dépenser des millions pour avoir une politique saine » ajoute Yann Jouveneaux. Toutefois, quand le DSI n’a pas de position stratégique dans l’entreprise, il n’est pas évident d’aborder cette question critique avec la Direction Générale, qui n’est d’ailleurs pas toujours prête à écouter le sujet. Le manque de temps est aussi souvent invoqué ! Et d’ajouter « Avec le Cloud, tout n’est pas magique ! ». Une série de logiques, de performances, de sécurisation montre que tout ne se fait pas aussi aisément. Ne pas faire l’impasse sur les réplications nocturnes des données sensibles du datacenter, ni sur la proximité du datacenter, deux éléments primordiaux pour Yann Jouveneaux.
Pour conclure, il ajoute l’évolution est en marche, « on commence, cependant, à voir émerger de vraies offres matures Cloud avec de vraies propositions spécifiques de garantie de réversibilité réelle », le tout pour une sécurité maximale !
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.