Le "cloud" est un terme rassurant pour signifier que nos données sont sur d'autres serveurs.

Par exemple, lorsqu'on place ses fichiers sur Google Drive, on les transfère vers les serveurs de Google.

C'est pratique, car ils deviennent accessibles de n'importe où : au bureau, à la maison, sur son mobile.

Le problème c'est qu'ils deviennent aussi accessibles à n'importe qui. J'exagère en écrivant "n'importe qui", car c'est probablement restreint à une partie des 98 000 employés de Google, plus les plug-ins qui ont un accès au drive (pour éditer un PDF par exemple).

Cette tendance se renforce. Et chaque jour une nouvelle entreprise bascule vers un service en ligne par abonnement, comme Microsoft Office 365 par exemple.

Terminé les serveurs "maison" : on équipe ses salariés d'un laptop avec un navigateur Internet, et ça suffit pour accéder à toutes les ressources de l'entreprise.

Inutile de gréer un staff IT, le fournisseur du cloud s'occupe de tout.

Fin de l'histoire ?

Retrouver la maîtrise de ses données

Et pourtant, j'observe chez mes clients un sentiment de méfiance qui succède à l'enthousiasme d'avant.

Compte-tenu de la valeur des données que l'on manipule et de leur sensibilité, certains refusent de les confier à des tiers. Et parfois engagent un projet de ré-internalisation.

Comment s'y prendre pour cette reconquête ?

Voici 3 façons possibles :

#1 Le self-hosted : héberger ses applications sur ses propres serveurs.

• Avantage : le serveur est sur le réseau privé de l'entreprise, ce qui profite à la performance et la sécurité.
• Inconvénient : exploiter un serveur, c'est un métier. Il faut une équipe en charge de la gestion du matériel, capable de détecter et de faire face à une panne ou une tentative de hacking. Le matériel devient vite obsolète et nécessite d'être renouvelé régulièrement.

#2 Le cloud privé : on loue le matériel et on exploite soi-même les serveurs.

• Avantage : le matériel est géré dans le datacenter d'un fournisseur (comme OVH). On maîtrise la localisation de ses données, et on dispose de services prêts à l'emploi simplifiant l'exploitation du serveur.
• Inconvénient : Les données échangées entre le serveur et l'entreprise transitent par Internet (mais sont cryptées). Même si la gestion du matériel est externalisée, il faut toutefois une compétence pour exploiter le serveur et le surveiller.

#3 L'encryption : on utilise un service en ligne, mais qui garantit le chiffrement de bout en bout des données.

Cette solution peine à émerger car elle complique le développement.

Le principe est de conserver les atouts d'une solution 100% en ligne, mais avec un cryptage des données dès qu'elles sortent de l'entreprise, jusqu’à leur stockage. Le serveur ne les décrypte jamais (il ne peut pas de toute façon).

Ainsi, l’utilisation des données par le propriétaire de la plateforme devient impossible (il peut juste les effacer).

• Avantage : on conserve ceux d'une solution cloud (externalisation complète)
• Inconvénient : il faut crypter les données sortantes du navigateur, et décrypter les données entrantes. La plateforme ne “comprend” pas les données qu’elle gère. Impossible de les relier pour fournir des services collaboratifs comme ceux d’un CRM ou d’une gestion de planning par exemple.

En pratique, c’est la solution du cloud privé qui est souvent privilégiée, sous l’impulsion d’une offre plus abondante de data-centers français 🇫🇷 petits ou gros.

Mais la relocalisation des données ne sert a rien sans alternative à la solution SaaS que l'on avait choisi pour sa simplicité de mise en oeuvre. L'objectif reste de se doter d'un outil en ligne, utilisable de n'importe quel PC ou mobile de l'entreprise, prêt à l'emploi pour un nouvel arrivant.

C'est la seconde tendance que j'observe : l'essor de solutions open-source qui dépassent (de loin) le bricolage astucieux de quelques geeks passionnés qui travaillent pour la gloire.

L'utilisation de logiciels open-source

Car désormais, Github fourmille de projets open-source prêts à être installés sur votre cloud privé.

L'annuaire Awesome Selfhosted en recence plus d'une centaine.

Besoin d'un cloud pour stocker vos documents ? Essayez NextCloud.

Un outil de messagerie d'entreprise ? RocketChat.

Mais le mouvement ne s'arrête pas à ces acteurs historiques.

L'exemple de Strapi est éloquent.

Cet outil open-source qui ambitionne de remplacer WordPress est né fin 2015. Sa popularité croissante (+29k étoiles sur Github) a facilité son adoption par de grandes entreprises comme IBM, la Société Générale ou Walmart. En mai 2020, il a convaincu des investisseurs d'investir 10M$ pour financer son développement, moins d'un an après une première levée de fond de 4M$.

Tout ça pour un logiciel gratuit ?

En fait, le modèle économique de Strapi repose sur son offre hébergée et sur des prestations de conseil. Le caractère gratuit permet de se constituer une communautéde fans de la première heure qui convaincront leurs chefs/clients d'opter pour cette solution.

Exactement le même modèle que WordPress.

Au passage, on ne construit pas seulement une communauté d'utilisateurs, mais aussi une communauté de contributeurs qui vont accélérer le développement du produit.

Une architecture sous la forme de "plug-ins" permet de coder des modules spécifiques (et payants) qui viendront compléter le coeur du logiciel. C’est une autre source de revenu de l’open-source : vendre directement (Oddo, ElasticSearch) ou via des places de marché ces composants additionnels.

Open-source mais surveillé

Le monde merveilleux de l'open-source combiné à la location d'un morceau de data-center pour construire son cloud privé nous sauve donc de ces compagnies monstrueuses qui exploitent nos données stockées à l'autre bout de la planète.

Pas tout à fait.

Il reste un point parfois négligé, élégamment baptisé "télémétrie".

En pratique, il s'agit d'un bout de code qui va envoyer quelque part des données sur le fonctionnement de l'application.

L'intérêt de l'open-source, c'est que l'on peut consulter ce code pour comprendre ce qu'il fait. Sa désactivation est plus ou moins simple (elle l'est pour Strapi).

Parfois, l'outil est encore moins vertueux et s'appuie sur des service tiers à qui il transmet des données. Mieux vaut identifier ces dépendances au moment de l'évaluation des options techniques, et soigner la configuration du pare-feu de son cloud privé.