Cloud Américains: quelle stratégie face aux risques géopolitiques et réglementaires ?

cloud américain, cloud souverain , Quelle stratégie mettre en place pour la DSI

Sommaire

Préambule

La guerre commerciale menée par Donald Trump depuis le début de son mandat a de quoi rendre stressé le plus détendu des DSI. Nous faisons face à un risque multi factoriels qu’il est important d’identifier pour gérer au mieux sa stratégie d’hébergement avec l’emploi du Cloud américain.

Quels sont les principaux risques pour les entreprises

  1. La Restrictions à l’export ou d’interdictions d’accès

C’est le premier risque entrainé par une guerre commerciale. Son application se traduit concrètement par l’ajout de pays ou d’entreprises étrangères à des listes de restrictions telle que la « Entity List » du Département du Commerce Américain avec comme conséquence l’interdiction, la limitation ou la suspension de l’accès des pays concernés à tout ou partie des services cloud américains.

Dans un contexte ou l’IA est un domaine stratégique pour nos entreprises, on comprend vite les conséquences que pourraient avoir une telle application.

  1. Souveraineté des données et Cloud Act

Ce risque est déjà très largement connus par nos DSI et c’est par ailleurs l’une des principales raisons pouvant stopper les projets de migration vers un Cloud public sous la bannière de l’oncle Sam. C’est ainsi que toutes les entreprises même non-américaines peuvent être exposées à l’application de l’extraterritorialité du Cloud Act. Concrètement cela signifie que les autorités américaines peuvent demander l’accès à des données stockées par des prestataires comme Microsoft, AWS ou Google Cloud, même si elles sont localisées hors des États-Unis.
À date, aucun cas public et documenté n’a révélé l’application explicite du Cloud Act par les autorités américaines pour accéder à des données hébergées en France, via un prestataire de cloud américain mais dans un contexte de mise en tension par l’administration Trump, c’est un bouton nucléaire sur lequel il n’est pas interdit de penser qu’il puissent appuyer. On pense bien entendu au Hub de santé hébergé chez Microsoft par exemple.

  1. Risques sur la Supply Chain

Le Cloud a beau nous sembler virtuel, les serveurs qui font tourner les services sont pourtant bien réel. Et dans la course à l’armement que se livre les acteurs, cela veut dire qu’il faut du matériel, encore du matériel et toujours du matériel. La tension entre la Chine et les États-Unis n’est pas de nature à sanctuariser la chaîne d’approvisionnement et pourrait créer une tension, voire des ruptures sur les composants formant l’écosystème des Datacenters. Si les serveurs viennent à manquer alors pas de scalabilité. En 2020, lorsque je pilotais des projets de transformation de clients de l’ADTECH, gros consommateurs de puissance de calcul, les équipes Google me demandaient de les prévenir en amont pour vérifier que les Datacenters d’accueil seraient suffisamment armés pour répondre au besoin. Alors en 2025 avec l’explosion de la Data et de l’IA générative…

On annule les projets … et on migre tout sur du Cloud souverain ?

Oui les risques sont là… et en réalité ils ont toujours été présents. La différence c’est qu’ils sont exacerbés par le contexte international. Pour autant est-ce que dès lundi tous les DSI doivent convoquer en urgence une réunion du CODIR pour migrer tous les actifs numériques vers un Cloud Souverain? Est-ce que le projet de migration vers Azure sur lequel les équipes travaillent depuis 12 mois doit être reporté sine die ? Evidemment que non. Mais est-ce qu’on doit travailler à établir des scénarios alternatifs et définir un mix stratégique de ses fournisseurs .. doublement oui.

Lister l’état de la menace

Il faut commencer par un état des lieux de vos actifs numériques afin d’identifier vos risques, dépendances et poser en face de chacun la stratégie à déployer.

  1. Les startups

Une startup ou Scale Up va difficilement pouvoir faire sans les Cloud Américains. Tout d’abord, leur modèle demande une capacité de scalabilité mondiale et une course à l’innovation continue que les acteurs locaux n’offrent pas ou offrent trop tard. On peut penser à Kubernetes qui arrive en version stable uniquement maintenant chez nos hébergeurs européens. Je pense que le plus gros risque sera surtout porté sur la chaîne d’approvisionnement et donc la capacité de scale qui pourrait être limitée. Stratégiquement j’irai plutôt travailler des scenarii multi-Cloud pour assurer la qualité de service, la capacité d’extension et la réassurance vis a vis des investisseurs.

  1. Les ETI/PME

Pour ce qui concerne les ETI en PME la stratégie va se découper en deux parties distinctes:

  • Le poste de travail

Sur ce point ne rêvons pas … il n’y a pas d’alternatives crédibles à mes yeux pour le moment. La bureautique va rester sous Windows et la suite collaborative sous Microsoft. Les puristes me diront que des solutions libres alternatives existent. Oui mais encore une fois ce n’est pas crédible de mon point de vue. Nous n’avons pas suffisamment de recul, l’adoption des utilisateurs finaux sera un enfer, et ne parlons même pas de la reprise des données. Le chantier serait à mener en cas de force majeure.

  • Les serveurs et services SaaS

C’est ici que les options stratégiques sont les plus intéressantes à évaluer. Donc on commence par lister les services et dépendances, les niveaux de SLA/SLO, les besoins business anticipés à 5 ans et enfin on n’oublie pas de contrôler l’effort des équipes pour exploiter le tout. L’objectif est assez simple. Pour chaque service nous devons lister les fonctionnalités utilisées. Vérifier si elles existent uniquement chez notre provider Cloud américain et confirmer si elles sont réellement indispensables.

Une fois que notre framework est prêt c’est le moment du screening pour trouver les Cloud de Confiance capables de nous accueillir. Et tout doit être méthodiquement étudié: localisation, disponibilité, tarifs, contractualisation, scalabilité, mécanisme de sécurité, capacité d’adoption par les équipes… Précision sur les Cloud de confiance… Est-ce qu’on peut dire qu’une Joint Venture telle que SenS entre un Google et un Thales est une vraie protection ? Je rappellerais simplement que le Software reste américain et donnerais comme axe de réflexion les F35 vendus par les USA aux pays de l’OTAN…

Une réponse plurielle

Il n’y a malheureusement pas de réponse préconçue quant à la stratégie à privilégier. Chaque entreprise pourra selon le niveau de risque, les coûts, la taille des équipes, les ambitions business avoir une approche spécifique. Je m’explique…

Notre framework nous aura permis de croiser les données, de benchmarker, de projeter une timeline, les coûts pour synthèse présenter l’état de la menace et les différentes options crédibles. Mais pour autant il n’y aura pas de réponse parfaite car personne ne sait réellement ce qu’il adviendra de ce changement de paradigme américain. Ce contexte d’incertitude doit être l’opportunité pour les DSI de prendre conscience et de faire prendre conscience des risques potentiels pour avoir des scénarios crédibles et actionnables afin d’anticiper les réponses à mettre en oeuvre.

Vous souhaitez être accompagné dans cette démarche ? Contactez nos experts pour un audit personnalisé.

Anthony DOUILLARD

J’aide les DSI et Dirigeants à y voir plus clair dans leurs projets IT et Cloud, à prendre des décisions éclairées et à structurer des plans d’action adaptés à leurs priorités.

Voir ses publications

Passez à l’action.
Construisez un Cloud que vous contrôlez.

Construire mon Cloud

Échangeons ensemble.

Un projet ? Une réflexion stratégique ?
Planifiez un échange avec le fondateur d’AN2C.

Planifier un rendez-vous