Cloud : les groupes Casino et Areva y vont « mais pas n’importe comment et pas à n’importe quel prix »
Assises de la Sécurité : lors d’une table ronde, deux responsables informatiques des groupes industriels français ont apporté leurs éclairages sur leur expériences mitigées du cloud.
Autre témoignage à l’occasion de la même table ronde : Bernard Cardebat, RSSI du groupe Areva, considère le cloud comme un « complément de capacité technique hors de la sphère entreprise ».
Face aux risques d’engorgement lié à la bande passante, le RSSI considère que l’objectif premier est de rendre le système d’information groupe « compatible avec ce type d’usage ».
A son tour, il exprime des réserves sur l’informatique dans le nuage. « La crytpo de bout en bout, cela ne marche pas. Et surtout, dans le cloud, qui est le chef ? ».
La consigne est claire : Areva ira dans le cloud mais pas n’importe comment. Alors, on valorise le parc applicatif, on catalogue les données…« On commence à avoir une cartographie de ce qui peut aller dans le cloud ou non », explique Bernard Cardebat.
Mais il faut renforcer la gouvernance, reprochant à certaines directions métier d’avoir « cédé aux sirènes » du cloud un peu trop rapidement…
Pour un groupe engagé dans le nucléaire comme Areva, la question des données sensibles est primordiale. « On n’en veut pas dans le cloud », précise Bernard Cardebat.
Mais les réponses ne sont pas toujours évidentes : « 85% de nos informations peuvent être considérées comme non sensibles mais comment faire quand elles cohabitent avec des données sensibles [au sein d’une même base de données par exemple, ndlr] ».
Ainsi, le RSSI d’Areva prend l’exemple d’une application de gestion avancée commerciale (CRM) d’une ancienne filiale groupe qui a été rapatriée car les informations mises sur le cloud étaient considérées comme trop sensibles.
Sur la gestion des données dans le cloud, les deux responsables informatiques soulignent des maillons faibles dans la gestion du cycle de vie des données..
« Il existe des risques que les données ne meurent jamais dans le cloud », considère Bernard Cardebat. « En cas de plan de reprise d’activité (PRA), celles censées disparaître peuvent ressurgir. »
D’où l’importance de trouver des solutions de « désensabilisation » des données. Autre problème mi-pragmatique mi-philosophique : « Quid du droit à l’oubli des données dans le cloud? »
Un sujet que le sécrétariat d’Etat à l’Economie numérique a pris en main. Pour le cas des particuliers au moins.