Toute transformation réussie vers le cloud débute par un changement culturel

Il y a vingt ans, les entreprises découvraient les pouvoirs magiques de la virtualisation. Cette dernière annonçait la fin de la règle en usage « un serveur physique par application » et les prémisses d’une gestion des infrastructures par le logiciel. Elle a contribué à démocratiser les concepts d'automatisation dans la construction et l'installation des systèmes. Elle a aussi rendu possible la mise en place des pratiques DevOps et des mécanismes actuels d'intégration continue et de livraison continue. Cependant, l'adoption de la virtualisation ne s'est pas toujours faite sans heurts et plusieurs obstacles se sont dressés sur son chemin. 

Aujourd’hui, les organisations sont de nouveau confrontées à des obstacles similaires alors qu’elles entament leur voyage vers le cloud.  

Il y a vingt ans, les entreprises qui souhaitaient virtualiser leur environnement de serveurs étaient confrontées à un défi de taille qui n'était ni technique ni budgétaire, mais organisationnel, s'étendant à toutes les équipes informatiques et au-delà. 

La première équipe affectée par la virtualisation était celle jusque-là en charge d'installer les serveurs physiques dans les racks du centre de données, de gérer les connexions réseau physiques et de faire fonctionner les contrôles environnementaux, tels que les systèmes d’alimentation ou de climatisation. Avec la virtualisation, ces tâches ont été considérablement réduites, et parfois même éliminées.

La deuxième équipe touchée par ce changement technologique fut celle en charge d'installer les systèmes d'exploitation et d'exécuter les procédures post-installation. Son travail a presque complètement disparu puisque la plupart des machines virtuelles étaient automatiquement instanciées à partir de modèles.  

Dit autrement, la réussite de l’adaptation à la virtualisation dépendait de la capacité de l’organisation à faciliter les changements organisationnels qu’elle induisait. Chemin faisant, il était essentiel de former le personnel et de veiller à ce qu'il acquière les nouvelles compétences nécessaires pour exploiter l'infrastructure de virtualisation. Et généralement, les équipes concernées ont fini par trouver que leurs nouvelles responsabilités étaient différentes mais toujours essentielles à l'organisation, et peut-être même plus attrayantes.

Les leçons de la virtualisation pour les régulateurs de la transformation cloud

Dans les secteurs fortement réglementés, les discussions autour de la virtualisation ne se sont pas arrêtées aux changements internes que l’on vient d’évoquer. Elles se sont accompagnées de nombreux débats avec les régulateurs. En effet, les organismes réglementés considéraient souvent l’hyperviseur comme une simple couche logicielle supplémentaire, potentiellement porteuse de nouvelles vulnérabilités.  Ainsi, de nouveaux risques (comme l’évasion de la machine virtuelle) étaient pointés du doigt. S’il fallait bien sûr les prendre en compte et chercher à les mitiger, il aurait aussi fallu les mettre en balance avec les avantages de la virtualisation en matière de sécurité (identification des actifs, harmonisation, gestion fluidifiée des patchs) plutôt que de se focaliser sur les risques. 

Aujourd’hui, la pertinence et les avantages de la virtualisation sont désormais largement reconnus. L’histoire se répète pourtant alors que les migrations vers le cloud soulèvent des problèmes similaires. 

Lorsque les grands hyperscalers ont commencé à prendre en charge les workloads critiques de leurs clients, les organismes de réglementation ont renforcé leur surveillance des fournisseurs de cloud et publié des directives précises concernant l'adoption du cloud. C'est ce qui s'est notamment passé dans le secteur financier européen, avec les directives des différentes autorités européennes de surveillance (l’Autorité Bancaire Européenne, l’Autorité européenne des marchés financiers ESMA et l’Autorité européenne des assurances et des pensions professionnelles EIOPA) et avec le futur règlement Digital Operational Resilience Act.

L'adoption de telles réglementations doit contribuer à instaurer la confiance entre les fournisseurs de services cloud (CSP) et leurs clients. Cruciales pour les organisations de ces secteurs réglementés, ces réglementations leur permettent de mettre en balance les risques et les avantages d’une migration cloud tout en tenant compte des leviers proposés par les CSP pour les aider à renforcer leur sécurité générale et leur conformité.

Quand la transformation culturelle favorise la transformation vers le cloud

Il existe toutefois une autre similitude entre la transformation cloud et la migration vers la virtualisation : toutes deux requièrent une transformation interne. 

Lorsqu'une entreprise décide d'entamer son voyage vers le cloud, la formation de son personnel à ces nouvelles technologies et aux nouveaux outils est une étape importante et nécessaire, mais probablement pas la première ni la plus ardue à réaliser. Un changement d'état d'esprit est primordial pour intégrer pleinement tous les avantages du cloud, en particulier en matière de sécurité.

Le Cloud impose une nouvelle approche qui doit débuter par une transformation organisationnelle. En effet, il est impératif de ne pas considérer le cloud comme un autre datacenter, un simple datacenter externe. Le potentiel du Cloud va bien au-delà.
D’autant que cette nouvelle approche et la transformation organisationnelle qui en découle sont motivées par deux facteurs : les lourdes charges d’administration que le fournisseur de services cloud prend en charge pour le client et la flexibilité nouvelle apportée par l'infrastructure définie par logiciel.

En effet, le fournisseur de Cloud gère directement plusieurs tâches et services, ainsi que leur sécurité, qui ne sont plus dès lors une préoccupation directe pour le client. Ces responsabilités comprennent notamment la gestion du datacenter, les équipements à la sécurité renforcée, le chiffrement par défaut des données au repos comme en transit, ainsi que la gestion de réseaux résilients. 

Par ailleurs, toute l’infrastructure utilisée par l’organisation pour gérer ses Workloads Cloud étant définie par logiciel, il en résulte une grande flexibilité. Outre l’agilité qui en découle, celle-ci permet aussi de mettre en place facilement des mesures de sécurité et de conformité continue autrefois complexes à instaurer.

Bien sûr, il peut être très tentant d’aborder la transformation cloud comme une simple opération de « Lift & Shift » (soulever et déplacer) de l’infrastructure existante sur site. Mais une telle approche réduit singulièrement les gains potentiels d’une vraie transformation cloud. Car le simple transfert vers le cloud des systèmes « sur site » n’est qu’une infime partie de l’impact potentiel du Cloud.
Un changement d’état d’esprit peut se révéler bien plus transformateur. Embrasser tout le potentiel du cloud impose de repenser les processus de développement, d’architecture et de sécurité, ce qui impose inévitablement une transformation profonde de l’organisation.

Une fois cette transformation lancée, l'étape suivante consiste à adapter les opérations, à les aligner sur l'organisation globale et sur les nouveaux processus définis, à rendre opérationnelles les chaînes CI/CD et à mettre en place des pratiques DevOps. Ensuite, il faudra combler le fossé technologique, en mettant en place les nouveaux outils et en apprenant aux équipes à les utiliser au mieux.

Le point important, ici, est l'ordre de la transformation à gérer : organisation, opérations et technologies (O-O-T) et non l'inverse (T-O-O).
Bien entendu, ces trois étapes ne doivent pas être considérées comme totalement séquentielles, car la technologie joue un rôle important dans l'organisation et les opérations. Cependant, il est essentiel de se focaliser sur le développement des équipes et des frameworks pour tirer pleinement parti de l'opportunité de transformation, plutôt que de se concentrer principalement sur l'outillage.   

De plus, chez Google Cloud, nous croyons en un « destin partagé » qui va bien au-delà du modèle habituel de responsabilité partagée du Cloud. Ainsi, nous pensons qu’il est de notre devoir d’aider nos clients à atteindre leurs objectifs dans leur domaine de responsabilité. C’est pourquoi nous préparons des « landing zones » pour guider nos clients, nous apportons plus de  transparence aux contrôles de sécurité et nous les aidons en matière de cyber-assurance.

Constamment améliorer la sécurité est un objectif commun à Google Cloud et à nos clients. Notre initiative Google Cybersecurity Action Team nous permet ainsi de nous engager auprès d’eux, de leur fournir les conseils nécessaires, de les soutenir dans leurs stratégies de sécurité et de conformité, et – au final – de les aider à réussir leur transformation organisationnelle et opérationnelle vers le cloud.

Pour en savoir plus :

• Écoutez notre podcast connexe : « Comment appliquer les leçons de la transition vers la virtualisation pour améliorer sa transformation cloud » 

• Écoutez « Préparer les migrations vers le cloud du point de vue du RSSI, 1ère partie »

• Découvrez « Le voyage vers le cloud atténue les risques de l'entreprise ».

• Consultez également « Les grandes tendances favorisent l'adoption du cloud et améliorent la sécurité pour tous ».

• Visitez le site Web de la Google Cybersecurity Action Team