Cloud de confiance : ce que recherche l'administration française

IA, serverless et IoT, non prioritaires dans l'administration publique ?

Ces technologies sont plus exactement "non priorisées" dans l'expression de besoins que la DINUM fait aux fournisseurs de services cloud de confiance.

Cinq niveaux de priorité sont définis, P1 correspondant au plus haut (et P5 au plus bas, NP signifiant "non priorisé"). Ils sont attribués à la fois à des MVP et à des fonctionnalités spécifiques.

Sur la partie conteneurs

Un MVP est au niveau P1 : les conteneurs orchestrés. Avec lui, deux fonctionnalités : la mise à jour de version mineure du cluster et la gestion des secrets via un service externe.

Au niveau P2 se trouvent la mise à jour de version majeure du cluster et les noeuds de calcul avec GPU. S'y ajoute le MVP sur les registres de conteneurs.

La mise à jour automatique de version mineure du cluster est au niveau P3, comme le stockage bloc persistant partagé entre conteneurs. S'y ajoutent, concernant les registres, l'analyse de vulnérabilité des images et la dépréciation d'images.

La réplication de dépôts (privés et publics) est au niveau P4, comme la mise à jour automatique de version majeure du cluster.

Les MVP pour le service mesh et l'annuaire de services sont non priorisés. Tout comme la gestion des secrets via la plate-forme d'orchestration.

Sur la partie infrastructure

Le MVP VM/calcul est en P1, comme la dépréciation d'image de VM. Même niveau de priorité pour les MVP stockage bloc et stockage objet.

Sur le MVP VM/calcul, les GPU et l'autoscaling sont en P2. Il en va de même, sur le stockage objet, pour la gestion des versions, la copie d'un conteneur de données vers une autre région, l'exposition sur Internet et le verrouillage d'objets pour une période définie.

Au niveau P3, on trouve le MVP stockage fichier et sa fonctionnalité de gestion automatique du stockage. Ainsi que, côté stockage objet, la capacité à restaurer un conteneur de données à un instant précis.

La planification des arrêts/relances de VM est en P4. Idem, sur le stockage objet, pour la réplication d'un conteneur vers une autre région et le vérrouillage d'objets pour une période indéfinie.

La réplication multizone sur le stockage bloc est en P5.

Parmi les éléments non priorisés :

• VM/calcul : ajout de puissance à chaud, bare metal, FPGA, groupes de placement, hibernation, migration à chaud, VM dédiées et VM éphémères
• Stockage fichier : multirégion
• Stockage bloc : attachements multiples (volume connecté à plusieurs hôtes), modification d'un volume sans interruption de service, réplication multirégion
• Stockage objet : stockage à froid
• MVP DaaS/VDI et PRA as a service

Sur la partie réseau

Les MVP DNS, interconnexion privée, load balancing, pare-feu et VPC sont au niveau P1.

Au niveau P2 se trouve le MVP bastion. Ainsi que deux fonctionnalités VPC (appairage + sous-réseaux publics) et une liée au load balancing (exposition du répartiteur sur Internet).

Le MVP VPN est en P3. Même niveau pour le MVP WAF et avec lui, les règles de filtrage tierces. S'y ajoute, sur le load balancing, la gestion de trois éléments : équilibrage "first available", équilibrage "least connections" et affinités de session.

Sur l'interconnexion privée la gestion des services/backend est en P4. Même chose, sur la partie VPC, pour l'interdiction de la résolution DNS.

Le GeoDNS est en P5 comme le failover.

Les MVP CDN et anti-DDoS (couches N3/N4 et N7) sont non priorisés. Comme cinq fonctionnalités liés aux VPC : le bring-your-own-IP, le clonage de trafic, les flow logs, l'IPv6 et la vérification de connectivité.

Sur la partie sécurité

Le MVP IAM, ainsi que la fédération IdP/SP, est au niveau P1. Le MVP KMS l'est aussi. Et avec lui, la rotation de clés et l'utilisation de HSM mis en place et gérés par le fournisseur.

Le MVP conformité des configurations est au niveau P2.

Le MVP IDS-IPS-SIEM est en P3. Comme celui sur l'analyse de vulnérabilités (et avec lui, la fonctionnalité de rapports sur la conformité).

En P4, on trouve l'analyse continue et la remédiation automatisée.

Au niveau P5, un MVP : EDR.

HSM, autorité de certification, gestion de certificat TLS et DLP sont non priorisés.

Sur la partie data

Trois MVP sont au niveau P2 :

• BDD relationnelle (dont gestion automatique du stockage et mise à jour (y compris automatique) de version mineure
• BDD document (dont mise à jour de version majeure et mineure)
• Sauvegarde

Au niveau P3 :

• MVP BDD clé/valeur (avec mise à jour de version majeure et mineure)
• Pour la BDD relationnelle, clusters de BDD, gestion des replicas en lecture, mise à jour de version majeure et restauration d'une base à un instant précis
• Pour la BDD document, gestion automatique du stockage, autoscaling et mise à jour automatique de version mineure et majeure

Au niveau P4 :

• MVP cache/in-memory (avec mise à jour de version majeure et mineure) et BDD orientée recherche (avec la même chose + gestion automatique du stockage)
• Pour la BDD relationnelle, clonage d'instance et autoscaling
• Pour la BDD clé/valeur, gestion automatique du stockage, mise à jour automatique de version majeure et mineure, autoscaling, restauration à un instant précis et support des transactions
• Pour la BDD document, clusters, gestion du cycle de vie des documents et restauration à un instant précis

Au niveau P5 :

• Pour la BDD clé/valeur, clonage d'instance et gestion du cycle de vie des objets
• Pour la BDD document, clonage d'instance
• Pour le cache/in-memory, autoscaling et mise à jour automatique de version majeure et mineure
• Pour la BDD orientée recherche, autoscaling, restauration d'une base à un instant précis et mise à jour automatique de version majeure et mineure

La réplication multirégion est non priorisée. Comme, pour la BDD relationnelle, le proxy et la mise à jour automatique de version majeure. Idem pour les MVP de data warehouse, de blockchain et de BDD graphes et chronologique.

Sur la partie middleware

Au niveau P2, un élément : le MVP de load balancing applicatif, avec exposition du répartiteur sur Internet.

Toujours sur le load balacing, la gestion de l'équilibrage "first available", de l'équilibrage "least connections" et des affinités de session est au niveau P3.

En P4 se trouvent deux services : file d'attente et flux de données batch. L'un et l'autre avec mise à jour de version mineure et majeure (y compris automatique pour la file d'attente).

Trois MVP sont au niveau P5 : ordonnanceur planifié, notifications SMS et mail transactionnel. Le sont aussi, pour les files d'attente, l'autoscaling, la gestion du FIFO et du mode lettre morte. Et pour les flux de données batch, l'autoscaling et la mise à jour automatique de version (mineure + majeure).

De nombreux services sont non priorisés. Parmi eux :

• Gestion d'API
• Bus de données
• Ordonnanceur orchestré
• ETL
• Dataviz
• Catalogue de données
• Anonymisation
• Flux de données temps réel

Sur l'administration et le pilotage

La gestion des quotas, le suivi des consommations et la gestion des actifs informatiques sont au niveau P1.

Sur la partie suivi des consommations, la brique de gestion des prévisionnels est en P3. Le MVP sur les alertes budgets l'est aussi.

Le MVP de suivi environnemental est en P4, avec le suivi du PUE (Power Usage Effectiveness) et du CUE (Carbon Usage Effectiveness).

Le MVP de facturation est en P5. Comme, sur les alertes budgets, la fonctionnalité de gestion des ressources réservées.

La gestion des quotas pour les flux de travail n'est pas priorisée. La gestion des licences et des événements de configuration tiers non plus. Pas davantage que les MVP Cloud Shell, catalogue de services et patching.

Les catégories de services non priorisées

Tous les MVP dans la catégorie développement (IDE, assistant de code, dépôt de code, revue de code, gestion de builds, artefacts) sont non priorisés.

Même remarque pour les catégories suivantes :

• Tests (référentiels, gestion des données, SCA, qualité de code, ingénierie du chaso, tests de charge, SAST/DAST/IAST)
• Serverless (Python, Node.js, PHP, Java, .NET, Ruby)
• IA (notebooks/studio, sécurité du contenu, indexation de vidéo, synthèse vocale, traduction, recommandations, etc.)
• Apps mobiles (ferme de périphériques, back-end mobile as a service)
• Médias (streaming, encodage, packaging, rendu)
• IoT (messagerie, gestionnaire d'événements, jumeau numérique, gestion de parc, protection de parc, analytique IoT)
• Migration (serveurs, stockage, BDD, conteneurs)

On peut y ajouter le déploiement d'applications et de middlewares ainsi que de bases de données.

Les principales demandes de services régionaux

Au niveau P1, on trouve les MVP pour le stockage objet, l'interconnexion privée, le VPC, l'IAM, le KMS et la gestion des quotas.

Les MVP situés au niveau P2 concernent :

• Conteneurs orchestrés et registre de conteneurs
• Pare-feu et load balancing sur la couche réseau
• Sauvegarde
• Conformité des configurations
• Supervision réseau, infrastructure et conteneurs

Les MVP bastion et WAF sont au niveau P3, comme les BDD relationnelles et document, le load balancing applicatif, l'IDS-IPS-SIEM et les alertes budgets.

Au niveau P4 se trouvent les MVP stockage fichier, BDD clé/valeur, flux de données batch et analyse de vulnérabilités.

Niveau P5 pour les MVP file d'attente, ordonnanceur planifié, notifications SMS, mails transactionnels, cache/in-memory, EDR et BDD orientée recherche.

Les MVP VM/calcul et suivi environnemental sont non priorisés.

Les principales demandes de services avec chiffrement

Si on s'en tient au chiffrement côté fournisseur, cinq MVP sont au niveau P1 : VM/calcul, stockage bloc, stockage objet, pare-feu réseau et KMS.

Les MVP conteneurs orchestrés et registre de conteneurs sont au niveau P2, comme les BDD relationnelles et document.

Au niveau P3, on trouve les MVP sauvegarde, conformité des configurations, IDS-IPS-SIEM et supervision infrastructure/réseau/conteneurs.

Le niveau P4 englobe trois MVP : stockage fichier, BDD clé/valeur et analyse de vulnérabilités.

Le niveau P5 en englobe davantage. Huit en l'occurrence : déploiement infras/services, file d'attente, ordonnanceur planifié, flux de données batch, notifications SMS, mails transactionnels, cache/in-memory et BDD orientée recherche.

Les MVP dans le domaine "administration et pilotage" sont non priorisés. Comme ceux touchant au load balancing réseau et applicatif, au VPC, au WAF et à l'EDR.

Les MVP niveau P1 passent en P2 dès lors qu'on considère le chiffrement avec des clés externes. Ceux relatifs aux conteneurs orchestrés et au registre de conteneurs glissent en P3, aux côtés du MVP IDS-IPS-SIEM. Les BDD relationnelles et document descendent en P4, comme la sauvegarde, la conformité des configurations et la supervision infrastructure/réseau/conteneurs. Stockage fichier, BDD clé/valeur et analyse de vulnérabilités rétrogradent en P5.

Les principales demandes de services avec sauvegarde

Au rang P1, trois MVP : VM/calcul, stockage bloc et stockage objet.

Le MVP BDD document est en P2. Stockage fichier et BDD clé/valeur, en P3. Et la BDD orientée recherche, en P4.

Illustration générée par IA