Stratégie

Sensibilité des données et volonté d'indépendance, les deux moteurs de l'hybridation

Joao Simoes, le directeur stratégie SI, architecture et cloud de Covea : « la DSI du groupe ambitionne de se positionner comme un cloud service provider interne. »

Privé, public, de confiance... : le cloud est devenu une créature hybride. Comme le soulignent les invités de notre émission Théma - Covea, Kaufman & Braud, la Caisse des dépôts et la Dinum -, les organisations cherchent désormais à rationaliser l'exploitation de ces multiples environnements.

PublicitéLe tout-cloud public présenté comme l'horizon unique des systèmes d'information a vécu. Les organisations publiques et privées que nous avons reçues dans le cadre de notre émission Grand Théma sur le cloud hybride témoignent de cette évolution des mentalités. Ce sont avant tout les aspects relatifs à la sensibilité des données qui dictent une approche plus circonspecte du cloud. Sans oublier la volonté de conserver une certaine indépendance vis-à-vis des éditeurs de logiciels et hyperscalers.

Visualisez l'intégralité de notre émission (vidéo 51 min.)

Chez Covea, un groupe d'assurances regroupant des marques comme Maaf, MMA ou GMF, Joao Simoes, le directeur stratégie SI, architecture et cloud, explique ainsi que la DSI de l'entreprise « ambitionne de se positionner comme un cloud service provider en empruntant les bonnes pratiques des hyperscalers pour les appliquer en interne. » Tout en accédant aux promesses du cloud en termes d'agilité, la DSI du groupe d'assurance entend exploiter ce levier pour revisiter sa politique de 'make or buy' et contenir ses coûts IT. « Ce qui nous guide, c'est la volonté de garder un niveau de souveraineté sur l'IT, en réduisant notre dépendance aux éditeurs », assure Joao Simoes. La mise en oeuvre de cette feuille de route passe également par une réinternalisation des compétences : « aujourd'hui, nous sommes sur un ratio d'externalisation de 60%, pour 40% d'interne. L'idée, c'est d'inverser ce ratio », reprend le responsable.

Deux versions par an pour CoveForge

La DSI de Covea développe ainsi un socle technologique appelé CoveForge, pour héberger les applications modernisées du système d'information. Cet environnement, qui devrait proposer entre 10 et 15 services managés d'ici fin 2026, début 2027, est enrichi deux fois par an, « sur la base d'une roadmap guidée par les transformations des patrimoines » opérées par les différentes marques du groupe. Ces modernisations iront jusqu'au décommissionnement de certaines applications mainframe coeur de métier, assure Joao Simoes. « Même si les premiers efforts ont porté sur des espaces client ou des applications digitales, l'essentiel de la valeur de CoveForge découlera de la modernisation des applications coeur », assure-t-il. Les premières estimations de Covea laissent entrevoir une réduction de 80% des délais de mises en oeuvre d'une infrastructure et du coût des tests.

Philippe Minier, le DSI de Kaufman & Braud : « nous étudions le cloud de confiance, afin d'avoir un plan B. »

PublicitéChez le promoteur immobilier Kaufman & Braud, l'approche du cloud est restée volontairement prudente, les usages découlant essentiellement d'opportunités, comme le raconte son DSI Philippe Minier. Le promoteur a notamment testé le cloud pour accéder à des capacités de calcul lui permettant d'effectuer les simulations financières critiques pour son activité. « Dans le passé, nous avons été confrontés à des limitations liées à la mémoire sur le cloud », explique le DSI. Si cette limite a depuis disparu, c'est désormais le coût qui bloque. « A chaque fois que nous étudions le cloud, nous nous posons la question de la sensibilité des données, mais aussi celle du coût », souligne Philippe Minier.

Visualisez l'intégralité de notre émission (vidéo 51 min.)

En dehors de quelques systèmes extérieurs à son coeur de métier (RH, fiscalité...), c'est finalement dans l'IA que le promoteur a trouvé des usages pertinents du cloud, notamment au travers d'une application de vérification des plans d'architecte, qui permet, avec GPT-4o, d'automatiser une quarantaine de contrôles. « Les gains en termes de productivité et de qualité des contrôles ont énormes », assure le DSI.

Tributaire du calendrier de certification SecNumCloud

C'est aussi pour accéder à des capacités de calcul dédiées à l'IA que la Caisse des dépôts s'intéresse à des clouds externes. « Pour des raisons liées au numérique responsable, nous avons fait choix de ne pas avoir de GPU ou d'infrastructure très énergivore dans nos datacenters », raconte Geoffray Sulkowski, le CTO de CDC Informatique, le GIE IT de la Caisse des dépôts. Pour ce faire, l'établissement public s'intéresse aux offres labellisées SecNumCloud et a commencé à mener de premiers tests avec Numspot, avant de lancer un appel d'offres dédié. « Nous sommes tributaires du calendrier de certification », souligne le CTO.

Geoffray Sulkowski, le CTO de CDC Informatique, le GIE IT de la Caisse des dépôts : « nous testons la connectivité avec le cloud externe SecNumCloud exploité pour du calcul. »

En dehors de ces besoins spécifiques pour l'IA, la Caisse des dépôts héberge une large partie de son patrimoine IT sur un cloud privé interne. « Depuis plusieurs années, nous avons entamé un programme de migration de notre Legacy vers du cloud privé, puis vers un cluster Kubernetes vanille (soit la version communautaire, NDLR), mis en place il y a un peu plus de deux ans », précise Geoffray Sulkowski. Au sein du Grand pôle financer public (GPFP), qui réunit la Caisse, mais aussi la Banque Postale, La Poste, Bpifrance ou encore CNP Assurances, un groupe de travail planche sur l'unification de l'exploitation des divers environnements cloud.

SREN : la doctrine faite loi

L'approche de la Caisse des dépôts s'inscrit dans l'esprit de la doctrine de l'État en la matière, dite cloud au centre, un texte datant de 2021. « Sa règle numéro un dit : faites du cloud et des projets en cycle court », rappelle Nina Landes, cheffe de projet interministériel cloud à la Dinum, la Direction interministérielle du numérique. Sauf que, l'État manipulant énormément de données sensibles ou régaliennes, cette injonction est assortie de contraintes : à savoir l'hébergement de ces données sur des clouds internes de l'État (Pi à l'Intérieur et Nubo aux Finances) ou sur des environnements SecNumCloud, soit la règle 9 de la doctrine. Notons que la loi SREN, promulguée en mai 2024, va asseoir cette obligation : « son article 31 prend la règle 9 et la monte au niveau de la loi, indique Nina Landes. Elle précise par ailleurs à qui elle s'applique, car il subsistait quelques petites zones d'ombre. » En particulier, c'est grâce à ce flou que la Plateforme de données de santé, un groupement d'intérêt public, a pu s'en abstraire et être hébergée sur le cloud Azure.

Nina Landes, cheffe de projet interministériel cloud à la Dinum : « nous avons consulté les administrations pour connaître les services cloud qu'elles attendent en priorité. »

Reste la faiblesse actuelle du catalogue SecNumCloud. « L'offre est par construction plus limitée », reconnaît la cheffe de projet. Pour limiter les délais qui découlent de la lenteur des certifications, la Dinum a sollicité les administrations pour connaître les services cloud qu'elles souhaitent exploiter en priorité, afin d'offrir un éclairage aux industriels engagés dans les certifications de l'Anssi. Verdict : des attentes fortes pour des bases de données managées et du Kubernetes managé, sans oublier - plus récemment - les besoins en matière de GPU as-a-service. « Et deux acteurs SecNumCloud proposent déjà du Kubernetes managé », souligne Nina Landes, qui indique également que les deux clouds de l'État sont engagés dans cette voie, Pi ayant ainsi construit toute une chaîne DevSecOps.

Visualisez l'intégralité de notre émission (vidéo 51 min.)