jules - Fotolia

L'adoption du cloud reste sinusoïdale

Historiquement, le cloud a suscité la méfiance sur les questions de sécurité. Puis Salesforce est arrivé. Un autre mouvement de défiance lui a succédé avec la Loi de Programmation Militaire et le Patriot Act. Avant de repartir. Le CLOUD Act et le RGPD marquent le retour des inquiétudes.

Matthieu de Montvallon est le CTO France de ServiceNow. A ce titre, il est un observateur avisé - et objectif - de l'évolution du cloud.

Avisé car ServiceNow est un acteur très B2B du SaaS. Son CTO France a une vue très concrète du sentiment du marché envers le cloud, puisqu'il l'a vécu.

Objectif parce qu'il est en contact avec les plus grands comptes français et que l'éditeur propose d'autres options de déploiements si besoin est.

Résultat, l'analyse de Matthieu de Montvallon est certes pro-cloud mais pas « cloud naïve ». Bref un avis intéressant et modéré au moment où le CLOUD Act est vu par beaucoup comme une nouvelle menace à gérer, et par d'autres comme une simple lubie de journalistes.

Applications et Données

Cet échange est extrait d'un entretien publié dans le magazine « Applications et Données ».

Matthieu de Montvallon y aborde en détail le marché de l'ITSM et la stratégie de diversification de ServiceNow vers la gestion des processus transverses (impliquant RH, gestions clients, etc.).   

La sinusoïde du cloud en France

LeMagIT : Il y a 7 ans, quand ServiceNow est arrivé en France, le cloud n'était pas une option aussi populaire qu'aujourd'hui. Comment avez-vous séduit les DSI des grands comptes ?

Matthieu de Montvallon : Sur le cloud, il y a eu une espèce de sinusoïde. Le cloud a décollé très vite grâce à Salesforce. Ils ont tiré le SaaS vers le haut et tout le monde s'est engouffré. C'était la période 2005 - 2010.

« Depuis deux ans, cela se durcit à nouveau [...] C'est un éternel recommencement »
Matthieu de MontvallonServiceNow France

Quand ServiceNow est arrivé en France, cela commençait à se durcir. Les DSI commençaient à prendre conscience des risques inhérents au cloud. Les entreprises disaient « je n'ai plus envie d'y aller, j'ai peur ». [...] Nous avions beaucoup de discussions avec les RSSI [...] Nous avons fini par leur démontrer qu'ils auraient une infrastructure plus sécurisée chez nous que chez eux, mais cela a pris du temps.

Et puis le cloud est reparti quatre ou cinq ans après.

LeMagIT : Puis après les questions de sécurité - vis à vis de l'extérieur - sont venues celles sur la confidentialité - vis à vis du prestataire ?

Matthieu de Montvallon : Exactement, ces questions sont arrivées avec la Loi de Programmation Militaire. Depuis deux ans, cela se durcit à nouveau, notamment avec le GDPR. C'est un éternel recommencement, il nous faut convaincre une nouvelle fois.

LeMagIT : Avez-vous des retours des clients français sur le CLOUD Act et le Patriot ACT ? Vous posent-ils des questions dessus ?

Matthieu de Montvallon : Bien sûr. Ce sont des questions que nous avons à chaque fois. Moins - il est vrai - chez nos clients existants. Ce que nous avons beaucoup en revanche, ce sont des gens qui ont commencé « sur site » les premières années et qui en sont revenus.

CLOUD ACT proof

LeMagIT : Vous êtes un acteur cloud, et américain. Comment répondez-vous aux exigences de localisation, voire de souveraineté, de la donnée de ces clients sensibles ? Comment les assurez-vous qu'ils ne seront pas soumis au Cloud Act ou au Patriot Act ?

Matthieu de Montvallon : Si vous restez dans le SaaS, nous ne pouvons pas l'assurer. En revanche, chez ServiceNow, vous pouvez gérer vos propres clefs de chiffrements. Nous pouvons chiffrer les champs ou la totalité de la donnée ou du disque même. Il y a plein de solutions. C'est au cas par cas.

En général, la première discussion que nous avons avec des clients un peu réticents à aller sur nos datacenters porte sur la classification des données. Nous avons la chance d'être sur des métiers qui ne sont pas forcément les plus sensibles en terme de confidentialité.

Ce qui fait qu'avec certains clients, la question s'est naturellement posée, mais très vite elle s'est réglée en repositionnant les processus dont on parle : qu'est-ce qu'un incident métier chez vous ? Que peut-on enlever pour que la donnée soit encore moins sensible ? Qu'allez-vous mettre dans une instance ServiceNow ?

LeMagIT : Vous proposez néanmoins d'autres options pour les clients les plus sensibles, comme un hébergement sur un prestataire comme OBS ?

Matthieu de Montvallon : Il y a plein de solutions possibles. La plus radicale étant le « sur site ». Des instances gouvernementales extrêmement sensibles peuvent nous demander cela. Attention, ce n'est pas notre modèle ! Mais nous pouvons (aussi) le faire pour les cas extrêmes... Nous leur livrons le logiciel et ils l'installent. Ils gèrent ensuite les mises à jour - eux-mêmes ou via un partenaire, voire via une équipe ServiceNow dédiée. Bien qu'étant sur site, cela reste de l'abonnement. Mais j'insiste, cela reste vraiment à la marge.

Et entre cela et le SaaS, effectivement, ServiceNow peut être hébergé par un partenaire comme OBS. Mais ce qu'un client va rechercher via OBS ou ATOS, c'est surtout le fait que 1/ il héberge, 2/ il opère.

A&D : Pensez-vous comme d'autres à ouvrir un datacenter en France pour répondre à ces préoccupations ?

Matthieu de Montvallon : Avec la Loi de Programmation Militaire, ce qui peut être embêtant, c'est le fait que même si nous avions un datacenter en France - ce qui n'est pas le cas - nous ne pourrions pas garantir à nos clients, selon l'heure du support, que la personne qui intervient sur leurs données soit française.

Nous pouvons aussi être amenés à définir des fenêtres de support : si vous voulez un support par un intervenant français, la contrainte c'est que vous ne l'aurez que de telle heure à telle heure.

Pour approfondir sur SaaS