Stefan Ruckstuhl de Swisscom et Alexander Hofmann de Laux Lawyers vous expliquent comment optimiser dès aujourd’hui les projets cloud dans votre entreprise afin d’en tirer le meilleur parti. Principes essentiels et instructions pas à pas.
Texte: Tanja Dujic, Photo: Swisscom
13 décembre 2023
2023 restera probablement gravée dans nos mémoires comme l’année où les entreprises ont été confrontées à un nombre sans précédent de questions sur le thème de la conformité. Et en même temps, une chose est claire: nous n’en sommes qu’au début du voyage.
C’est donc le moment idéal pour mettre en place une gouvernance du cloud. Les entreprises ne peuvent y gagner, notamment en matière de sécurité et de contrôle, que si elles se familiarisent suffisamment tôt avec les infrastructures cloud et élaborent une gouvernance.
Pour résumer, la gouvernance est l’organisation d’un processus de contrôle des données. Le but de ce dernier est de renforcer les compétences et le dynamisme des entreprises. Une bonne gouvernance favorise l’innovation, elle ne l’empêche pas.
Élaborée conjointement au sein de l’entreprise, elle peut accélérer les projets cloud.
Stefan Ruckstuhl de Swisscom et Alexander Hofmann de Laux Lawyers ont discuté de l’approche pratique lors d’un échange entre experts. Nous avons résumé pour vous les principes essentiels ainsi que des instructions pas à pas.
On doit retrouver tout ce petit monde autour d’une table: le service juridique interne, le service Compliance, le Risk Management ainsi que le propriétaire technique et le responsable commercial: ce système de contrôle interne forme l’environnement dans lequel les échanges ont lieu. Nous en sommes ainsi déjà au premier principe de la mise en place d’une gouvernance du cloud.
«Une bonne gouvernance favorise l’innovation, elle ne l’empêche pas.»
Stefan Ruckstuhl, Head of Product Management, Cloud & Datacenter – Swisscom
Les cinq principes essentiels:
Après avoir réuni toutes les parties prenantes concernées autour d’une table, occupez-vous dans un premier temps de la structuration des principaux groupements d’intérêts.
Recensez toutes les exigences et veillez à ce que les exigences légales soient étroitement alignées avec les exigences des clients et les possibilités techniques.
Cette structuration garantit un équilibre durable entre gouvernance, innovation et technologie. Cela permet aux entreprises d’utiliser les innovations de manière judicieuse tout en tenant compte des risques pour leur développement.
Pour les grandes organisations, il est utile de recourir à des centres de compétences cloud, qui gèrent les projets en la matière et veillent à ce que tout le monde persévère.
Mais comment les entreprises s’y prennent-elles au mieux et par où commencer?
Les entreprises peuvent mieux répondre aux exigences externes si elles définissent dans un premier temps leurs objectifs vis-à-vis du cloud, c’est-à-dire leurs propres objectifs de contrôle pour le parcours cloud.
Une autre étape importante est alors automatiquement effectuée: renoncez à une stratégie opportuniste au profit d’une approche «cloud first», car vous réagirez ainsi de manière proactive et non réactive aux situations extérieures. Vous agirez de façon intrinsèque.
Les entreprises peuvent se poser les questions suivantes au moment de fixer leurs objectifs: quels résultats voulons-nous atteindre, quel est notre objectif de contrôle? Les réponses peuvent être très différentes: s’agit-il d’un accès nul, d’une sécurité accrue ou de la conformité à la loi?
Une question que les entreprises peuvent se poser est la suivante: ai-je une application simple, c’est-à-dire un cas d’utilisation, qui n’utilise pas de données critiques? Dans ce cas, ce dernier ne répond pas aux mêmes exigences qu’un cas complexe contenant des données sensibles. Certains cas d’utilisation nécessitent donc des directives plus strictes que d’autres.
Cette différenciation s’effectue une fois pour les cas d’utilisation et à la même étape pour les obstacles. Imaginons en exemple d’obstacle que les données clients de cette application doivent être stockées en Suisse.
Gardez toujours cette question à l’esprit: comment est-ce que j’accède au cloud? Dans tous les cas, les obstacles doivent être aussi réduits que possible. Il est alors possible de procéder à une classification des risques, qui débouchera au bout du compte sur une décision favorable ou défavorable à la migration vers le cloud pour les cas d’utilisation examinés et leurs obstacles.
À la quatrième étape, les experts recommandent de simuler un cas pilote. Ces cas de test vous permettent de déterminer si vous pouvez ou non prendre le risque de passer au cloud.
Des questions telles que «Cela représente-t-il un risque juridique?» ou «Cela représente-t-il un risque technique?» aident à prendre une décision en connaissance de cause.
Le test devrait permettre de se faire une opinion aussi claire que possible sur le cas examiné.
Si vous décidez de ne pas migrer vers le cloud dans ce cas d’utilisation, vous avez au moins progressé dans votre propre stratégie cloud: vous savez quel type d’application n’est pas adapté et est soumis à trop d’obstacles.
Ne pas avancer de peur de faire quelque chose de mal ou d’enfreindre les règles n’est pas une option.
Élaborer une gouvernance du cloud implique pour l’entreprise de s’informer en détail sur les thèmes de la conformité, d’adapter ces derniers à sa propre situation, de mettre en place de nouveaux processus et de mettre en œuvre des innovations de manière dynamique.
La checklist suivante vous permet de vérifier si votre processus de gouvernance du cloud remplit correctement sa mission:
Élaborer une gouvernance est aussi un processus qui permet de développer une attitude commune: comment allons-nous dans le cloud, qu’y faisons-nous et que n’y faisons-nous pas? La gouvernance est bien plus qu’un simple cadre législatif qui détermine ce que l’on peut faire ou non. Une gouvernance définit également les lignes directrices selon lesquelles une entreprise relève les défis à l’échelle des projets, par exemple l’explosion des coûts. La gouvernance permet également de garder le contrôle sur les budgets et les délais.
Pour cela, il vaut la peine d’élaborer avec la gouvernance un processus ayant le potentiel de migrer une grande partie des solutions SaaS vers le cloud. Elle bénéficie de ce potentiel lorsque les entreprises ont pris le temps et les ressources nécessaires pour mettre en place et définir correctement le processus.
Une gouvernance pratique du cloud aide à prendre rapidement des décisions en matière d’innovation. C’est un atout décisif sur des marchés de plus en plus dynamiques. Aujourd’hui plus que jamais, la réussite future dépend de la rapidité et de la flexibilité.
Les entreprises devraient se tenir constamment informées des dernières évolutions et des bonnes pratiques en matière de gouvernance du cloud. Le paysage du cloud évolue constamment; c’est pourquoi il est important de se tenir au courant pour éviter les failles de sécurité et maximiser l’efficacité lors de l’utilisation du cloud.
En effet, une gouvernance du cloud n’est pas un projet dont l’objectif est clairement défini, mais doit plutôt être considérée comme un voyage permanent.
Réglementation claire, surveillance permanente, collaboration et formation continue sont des principes fondamentaux qui peuvent aider les entreprises à naviguer dans la gouvernance du cloud. En respectant ces principes, les entreprises peuvent exploiter le plein potentiel du cloud tout en garantissant sécurité et conformité.
N’hésitez pas à contacter nos experts si vous avez des questions sur la manière optimale de mettre en place votre gouvernance cloud.