Plus de 250 professionnels du cloud, des mana

 

 

L’édition 2015 des IT Days se distingue des précédentes en ce qu'elle visait à rassembler dans un même espace des spécialistes issus de deux branches du secteur ICT appelées à converger de plus en plus étroitement: la sécurité de l'information et l'externalisation de services délivrés, jusqu'il y a peu encore, par les départements IT des entreprises. En effet, l'adoption croissante des services cloud – associés aux technologies mobiles et aux usages popularisés par les réseaux sociaux – ne va pas sans exposer les organisations à de nouvelles vulnérabilités. Pour protéger efficacement les actifs et les processus vitaux des entreprises, les CIOs doivent préparer les systèmes d'information à faire face à des menaces pouvant survenir à tout moment, n'importe où.

 

Le CIO, architecte d'un système d'information étendu

 

Le 15 juin dernier, KBL European Private Bankers et le Groupe suisse Lombard Odier signaient un partenariat stratégique en matière d’IT et d’opérations, accord devant déboucher sur la création prochaine d’une nouvelle société à Luxembourg, dotée de spécialistes de KBL epb et de Lombard Odier. "Il s'agit aujourd'hui d'harmoniser les processus de nos deux groupes et de tirer le meilleur parti de la plateforme G2 de Lombard Odier", a résumé Eric Mansuy, CIO de KBL ebp, invité à ouvrir le programme des conférences.

 

 

Le cloud représente "une réelle opportunité pour les défis auxquels nous sommes confrontés", a-t-il affirmé. Les solutions dans ce domaine sont arrivées à un excellent niveau de maturité, que ce soit en matière de consolidation des infrastructures (IaaS) ou de Software as a Service, et offrent un excellent levier pour améliorer le time-to-market des solutions destinées aux métiers. Au nombre des limitations, on compte, selon Eric Mansuy, l'absence au Luxembourg des grands acteurs du cloud et les contraintes de localisation des données imposées par le cadre réglementaire, ce qui restreint l'accès au marché dans sa globalité.

 

Le changement de modèle technologique induit également des changements dans les organisations qui passent d'un monde de techniciens à un univers de managers avec une importance croissance accordée au rôle du "CIO-architecte", chargé d'orchestrer l'ensemble du système d'information, y compris les différents fournisseurs de services cloud. Enfin, le CIO se doit d'intégrer aux nouveaux systèmes d'information étendus les besoins et les contraintes en matière de sécurité, de continuité et de régulation.    

 

"Gardez-vous des promesses du Safe Harbor"

 

"Chez KNEIP, nous sommes désormais à la fois consommateurs et fournisseurs de services cloud", a expliqué Jean-Luc Brach, CIO du spécialiste de l'information financière. La société luxembourgeoise a ainsi entièrement externalisé dans le cloud ses problématiques de production, de développement et de test, ces environnements demandant à bénéficier d'une grande élasticité. La gestion des ressources humaines de l'entreprise a été confiée à l'un des fournisseurs de solutions en ligne disponibles sur le marché (HRWeb) tandis que la production des rapports repose sur un ensemble de processus de traduction automatisés (vers une quarantaine de langues) auquel KNEIP accède, en STP, à travers les marketplaces de prestataires spécialisés.

 

 

Mais l'entreprise luxembourgeoise est également un fournisseur de services cloud. KNEIP procure ainsi aux titres de presse les informations financières qui leurs permettent d'alimenter quotidiennement leurs pages et sites web spécialisés, à travers des services cloud dont l'élasticité est la pierre angulaire. Dans un autre domaine, celui du reporting imposé par la Directive AIFM, dont les exigences constituent sans doute le plus important défi opérationnel jamais relevé par la plupart acteurs du secteur, KNEIP permet aux gestionnaires de fonds d'externaliser la complexité réglementaire et opérationnelle à laquelle ceux-ci doivent faire face. L'offre SaaS de KNEIP, accessible à la demande et en self-service, permet aux clients de créer leurs comptes utilisateurs à tout instant, de définir leurs propres worflows ou encore de mesurer l'activité de leurs propres clients.

 

Les leçons que Jean-Luc Brach retire de l'expérience acquise par KNEIP en tant que consommateur de services cloud le poussent à souligner l'importance qu'il faut accorder à la réversibilité des contrats conclus avec les fournisseurs de services cloud. "Exigez également de vos fournisseurs des audits de sécurité et surtout gardez-vous des promesses du Safe Harbor: trop d'entreprises européennes ont été victimes de la conception qu'en ont les acteurs d'outre-Atlantique", a-t-il encore averti. "En tant que fournisseur de services cloud, préparez-vous à gérer une montée en puissance très rapide de vos moyens de production et à absorber une demande exponentielle en matière de support dès que votre portefeuille s'élargit à une clientèle internationale", a conclu le CIO de KNEIP.

 

 "Le vrai bénéfice du cloud, c'est le time-to-market"

 

C'est en ces termes qu'Yves Dupuy, CIO de Société Générale a amorcé son témoignage quant à l'attitude adoptée par l'un des tout premiers groupes européens de services financiers face vis-à-vis des solutions cloud. "Notre volonté est d'être la banque la plus avancée en matière de business delivery et de DevOps", a-t-il révélé. Pour atteindre cet objectif, la banque a multiplié les services cloud. Il faut cependant avoir atteint "la taille critique qui permette cette industrialisation", a tempéré Yves Dupuy.

 

En cas de recours à des solutions de cloud externes, "il faut veiller à préserver l'image de l'entreprise projetée sur le marché, évaluer soigneusement la portabilité des applications et, notamment pour les activités sensibles comme le trading, accorder une attention particulière à la sécurité, en recourant entre autre au cryptage de l'information", a souligner le CIO de Société Générale. Pour cela, les acteurs du secteur financier doivent se doter de capacités d'audit externe indépendant vis-à-vis des grands cloud providers et respecter une politique claire en matière de localisation des données.

 

 

"Sur le plan technique", a concédé Yves Dupuy, "le recours à des solutions de cloud externe est acceptable pour satisfaire à des besoins ponctuels", même si "la taille du marché local ne permet pas d'obtenir des gains significatifs". Le CIO de Société Générale estime à 10 ou 15% les économies générées par le recours à des solutions IaaS, les gains pouvant atteindre 20 à 30% dans le cadre du PaaS.

 

Une étude interne menée récemment par la banque met en évidence un taux de satisfaction de la part des utilisateurs du cloud privé de Société Générale de l'ordre de 77%; 45% des utilisateurs interrogés estimant mieux gérer leurs coûts grâce à la possibilité de 'déprovisionner' les ressources même si 37% d'entre eux considèrent que leur consommation de services IT a augmenté en raison de l'impact du modèle en self-service propre à ces nouveaux usages.

 

Une approche stratégique cohérente

 

Confronté au besoin d'évaluer les technologies et les offres cloud disponibles, le groupe ArcelorMittal a mis en œuvre une vaste initiative d'évaluation, 'Cloud First'. Aurelian Popa, CIO Long Products EMEA d'ArcelorMittal, a présenté aux participants de l'édition 2015 des IT Days les enseignements tirés de cette étude en profondeur.

 

Il ressort de l'initiative 'Cloud First' qu'il est nécessaire d'adopter une approche stratégique cohérente pour tous les outils de production destinés à l'utilisateur final - Email, applications de productivité et de collaboration - afin d'éviter toute rupture ou contradiction dans l'expérience utilisateur  - en tentant par exemple de combiner l'outil de collaboration d'un éditeur avec la solution de messagerie d'un autre fournisseur. C'est pour ces raisons qu'ArcelorMittal a adopté en la matière une stratégie de fournisseur unique, avec Microsoft en tant que partenaire privilégié et Google comme challenger.

 

 

Lorsqu'il s'agit de contracter des services cloud, les auteurs de l'étude interne préconisent également d'intégrer dans les processus d'achat certains aspects contractuels. Il convient notamment de s'assurer de l'élasticité de la solution vers le haut comme vers le bas, de la mise en place d'un SLA contraignant assortis de pénalités financières ainsi que de conditions de reconduction et de clauses de sortie claires, d'un mode de paiement à l'utilisation, et de possibilités d'audit. Enfin, des exigences strictes ont été définies en matière de sécurité et exprimées dans un cahier des charges imposé à tout fournisseur pressenti.

 

Le cryptage en 4 clics

 

"Google, Facebook et WhatsApp collectent nos données et les vendent à leur profit. Les affaires récentes ont démontré que des gouvernements enregistrent le trafic sur internet, se réservent des accès et aménagent des back doors dans les produits, les logiciels et les solutions cloud", a rappelé Volker Birk au professionnels assistant au volet Smart Security des IT Days 2015.

 

Volker Birk est un membre éminent du Chaos Computer Club, la plus importante association de hackers en Europe. Il est aussi le co-créateur de pEp (pretty Easy privacy), une solution de sécurité développée par une entreprise du même nom basée au Luxembourg. Volker Birk a mis au point, en collaboration avec Leon Schumacher, CEO de DigitalEkho, une solution qui vise à faciliter le recours au cryptage pour les communications électroniques tant privées que professionnelles.

 

 

pEp, qui est autant l'œuvre d'entrepreneurs que de défenseurs du caractère privé et confidentiel des données, se présente comme une solution de cryptage des communications de bout-en-bout qui se veut simple, sûre et efficace. pEp repose sur des algorithmes fiables et largement testés, dont le moteur est constitué exclusivement d'éléments logiciels open source. La solution est disponible pour Android comme pour iOS, pour Outlook comme pour Apple Mail, pour tous types de serveurs de messagerie, que ce soit sur le web, dans le cloud ou en entreprise. pEp permet d'intégrer facilement et automatiquement des fonctionnalités de cryptage dans les communications mobiles et internet, à travers tous les canaux (Email, messageries instantanées, SMS, etc.).

 

Le mois dernier, pretty Easy privacy et Enigmail annonçaient un partenariat en vue de développer une solution de cryptage pour Thunderbird, le plus répandu des programmes de messagerie gratuits sur PC et laptop.

 

Cyber sécurité: des attaques de plus en plus puissantes

 

Entre avril et mai 2015, 150 décideurs français en matière de cyber sécurité ont été interrogés par le cabinet spécialisé PAC. Si l'enquête menée sur le marché français démontre que le nombre d’attaques augmente fortement, "le plus inquiétant est que ces attaques sont de plus en plus puissantes", a souligné Mathieu Poujol, Principal Consultant Cyber Security chez PAC, et "il faut être en mesure de mettre en œuvre des moyens de plus en plus conséquents pour arrêter ces attaques". D'une manière générale, l'étude montre, qu'outre l’augmentation des menaces, la digitalisation et le renforcement des réglementations, sans oublier l’impact des médias, se conjuguent pour faire de la Cyber Sécurité une activité stratégique pour les entreprises de l'hexagone.

 

 

Avec des budgets en augmentation pour près de 3 entreprises sur 4, les décideurs interrogés par PAC semblent plutôt confiants quant à leur niveau de risque. "Cependant", a remarqué Mathieu Poujol, "on peut légitimement se poser la question de savoir s’ils ne sont pas trop optimistes sur le sujet, quand on voit l’impact de certaines attaques". Les projets de Cyber Sécurité se concentrent sur les fondations que sont la protection des données et la gestion des risques. Mais ils concernent aussi des aspects plus techniques, mais tout aussi fondamentaux, comme la gestion des identités, en plein essor avec l'émergence du digital, et des projets plus lourds comme la mise en place de SIEMs ou de SOCs.

 

Les pouvoirs publics, à travers la réglementation et leurs interventions auprès des entreprises, ont un poids croissant sur le marché français de la Cyber Sécurité. Les entreprises françaises se font également beaucoup accompagner par des prestataires de services privés mais restent partagées concernant l’externalisation. "On peut tout de même penser que le manque endémique de compétences et la forte volatilité des menaces devraient pousser les entreprises vers plus de prestations externalisées", a conclu Mathieu Poujol.

 

Table ronde et master classes

 

La matinée dédiée au cloud et aux managed services s'est conclue sur une table ronde modérée par Vincent Koller, Partner chez KPMG, auquel se sont joints Eric Mansuy, Jean-Luc Brach, Yves Dupuy et Aurelian Popa.

 

 

Durant toute la journée, une vingtaine d'intervenants se sont succédé pour animer les 15 ateliers proposés aux participants aux IT Days 2015, afin d'apporter leur éclairage sur les différents aspects des problématiques abordées: Jean-Marc Chevereau (Devoteam), Philippe Dann (EBRC), Stéphane Esselin (POST Telecom), Romain Fettes (Mitsubishi), David Foy (POST Telecom), Ronald Joosten (NN Life Luxembourg), Thomas Koop (LuxTrust), Frank Lacroix (IBM), Sebastien Laurenti (Telindus), Antonio Mata Gomez (Oracle), Peter Oyserman (Delaware Consulting) et Carole Retter (Moskito) pour le volet cloud et managed services; Joany Boutet (Telindus), Paul Felix (POST Telecom), Paul Hoffmann (Luxmetering), Régis Jeandin (EBRC), Geert Nobels (Zscaler), Jean-Michel Remiche (POST Telecom), Leon Schumacher (Digital Ekho), Jörg Stephan (IBM) et Toon Van Den Bergh (HP) pour les sujets relatifs à la sécurité de l'information.

 

Michaël Renotte