Des VM Arm chez Google Cloud : quelles configs pour commencer ?

Des VM Arm chez Google Cloud : quelles
configs pour commencer ?
Usage général, optimisé pour le scaling horizontal. Ainsi Google Cloud positionne-t-il ses VM Tau,

lancées l’an dernier. Jusqu’alors composée exclusivement d’instances AMD (EPYC Milan, 3 e
génération), la gamme vient de s’ouvrir aux processeurs Arm. Avec les instances T2A, officiellement
en preview depuis le 13 juillet.

Comme chez Microsoft, on est sur des puces Ampere (cœur Neoverse N1). Les configurations
disponibles vont de 1 à 48 vCPU. Avec 4 Go de RAM pour chacun et du réseau jusqu’à 32 Gbps.

Sur les instances Tau AMD (référence T2D), le threading n’est pas activé. Autrement dit, 1 vCPU = 1
cœur entier. Il en va de même sur les T2A. Lesquelles prennent en charge, notamment, les SSD,
l’option vTPM et GKE. Mais pas, en revanche, l’informatique confidentielle.

Google Cloud rejoint AWS, Microsoft et Alibaba
La disponibilité se limite pour le moment à trois régions Google Cloud :

– Europe de l’Ouest 4 (Pays-Bas ; zones A, B et C)
– États-Unis Centre (Iowa ; zones A, B et F)
– Asie du Sud-Est 1 (Singapour ; zones B et C)

Google Cloud fournit un tarif indicatif : 1,232 $ de l’heure. Ce en tarification à la demande, pour une
instance à 32 vCPU en région US Centre. Pour les six autres configurations disponibles, les prix sont
tels que suit :

Microsoft avait lancé ses premières VM Arm à l’expérimentation début avril, sur demande. Au
menu, deux grandes familles, à usage général et optimisées pour la mémoire. Elles s’alignent sur
trois familles du catalogue AWS (M6g, C6g, R6g)… qui propose lui-même des puces Arm, mais
maison.

Alibaba aussi a ouvert, en avril, une série de VM Arm en phase expérimentale. À usage général,
elles reposent sur un SoC maison. En l’occurrence, le Yitian 710. Plafonné à 2,75 GHz, même s’il
peut monter à 3,2 GHz. Elles sont venues compléter une instance bare metal arrivée fin 2021, axée
GPU et reposant sur de l’Ampere Altra.

Photo d’illustration ©

DRaaS                    :   AntemetA                    opte             pour             HPE
GreenLake
Hewlett Packard Enterprise (HPE) et AntemetA étendent leur partenariat stratégique.

A l’origine intégrateur et spécialiste du stockage SAN, AntemetA se présente désormais comme un
fournisseur de services cloud privés et managés en France. Ses datacenters y sont tous implantés
et l’entreprise a obtenu les certifications ISO 27001, HDS et ISAE 3402.

Dans le cadre de son partenariat avec HPE, AntemetA va disposer de capacités de reprise après
sinistre en tant que service (DRaaS) basées sur l’offre HPE GreenLake for Disaster Recovery, fruit de

l’acquisition par HPE de Zerto pour 374 millions $.

Selon les promoteurs de l’offre, HPE GreenLake for Disaster Recovery protège les machines
virtuelles par le biais d’une protection continue des données (CDP), et non de snapshots pris à
intervalles réguliers. Il s’agit de réduire le risque de perte de données et de proposer un objectif de
point de récupération (RPO) de moins d’une minute.

Protection continue des données
Avec HPE, AntemetA étend son portefeuille de services cloud orientés « proximité et souveraineté ».
Il s’agit plus largement pour la société francilienne et ses agences de renforcer la protection des
données clés d’entreprises face aux cybermenaces.

« La protection des données des entreprises ne peut se faire qu’à travers une surveillance 24/24
enrichie d’IA pour prévenir, identifier et circonscrire toute cyberattaque ou infection », a déclaré
Stéphane Blanc, président et fondateur d’AntemetA. « La sécurité contre les ransomwares garantie
par HPE étend les capacités de gestion des données et de reprise après sinistre d’AntemetA,
apportant aux clients la possibilité de protéger leurs données en continue et de se rétablir en
quelques minutes après une attaque par ransomware. »

De son côté, Alain Melon, directeur général de la filiale française du groupe américain HPE, s’est
déclaré ravi de travailler avec « un des acteurs majeurs du cloud souverain« .

Il reste à savoir si la protection de données face aux lois à portée extraterritoriale est assurée.

(crédit photo © alice_photo – Adobe Stock)

« Cloud souverain » : l’approche d’Oracle
pour l’UE se dessine
Du « cloud souverain » chez Oracle ? Ce concept s’incarne déjà au catalogue du groupe américain.
Avec deux offres en particulier. D’un côté, OCI Dedicated Region, qui fait le pont avec les
infrastructures internes. De l’autre, les « régions cloud administratives », actuellement mises à
disposition des gouvernements américain et britannique.

En Europe, le « cloud souverain » fait l’objet d’une troisième offre. Dénommée EURA (European
Union Restricted Access), elle couvre les logiciels Oracle Fusion. Avec, dans les grandes lignes, deux
promesses. D’une part, que les données des clients (y compris celles qui en dérivent, comme les
traces et les logs) restent dans l’UE. D’autre part, que la gestion et la maintenance ne puissent être
effectuées que par des ingénieurs basés dans l’UE.

OCI – le cloud d’infrastructure d’Oracle – fera l’objet d’une offre de même teneur à l’horizon 2023.
Son nom : OCS (Oracle Sovereign Cloud). Là aussi, seuls des résidents de l’UE et des « entités
juridiques spécifiques basées dans l’UE » pourront assurer la maintenance et le support. Plus
globalement, on nous annonce une « gouvernance renforcée », sous la forme d’un framework qui
régira notamment l’accès aux données des clients et la gestion des demandes d’accès
gouvernementales.

Les premières régions OCS doivent ouvrir en 2023, en Allemagne (où Oracle exploite actuellement
un datacenter à Francfort) et en Espagne (ouverture prochaine à Madrid, chez Telefónica). Elles
seront « physiquement et logiquement » séparées des infrastructures OCI, nous annonce-t-on. Mais
elles proposeront les mêmes services, au même prix et avec les mêmes SLA, EURA compris.

Google met en place cette même séparation physique et logique dans le cadre de sa coentreprise
S3NS, montée avec Thales. L’offre qui en résultera doit être opérationnelle à l’horizon 2024. Elle
postulera au label SecNumCloud. Elle exploitera des salles dédiées, à proximité des trois datacenters
franciliens qui constituent la région France de Google Cloud. En attendant, une offre «
intermédiaire » est sur les rails, avec un support technique depuis l’UE.

Photo d’illustration via Shutterstock

Un engagement conjoint dans l’innovation
Découvrez notre nouveau Livre Blanc

Outiller la nécessaire évolution vers la
containerisation
Bénéficier des nombreux avantages du cloud suppose de revoir son parc applicatif pour l’adapter.
Le « lift and shift » est rarement la bonne alternative. La modernisation des applications implique
concrètement de les réécrire ou de les concevoir à partir de technologies de conteneurisation et,
parallèlement, de mettre en place une plateforme d’orchestration de conteneurs. Sur le terrain,
Kubernetes a largement été adoptée dans ce but. Avec Tanzu, VMware et Dell EMC propose une
solution Kubernetes de type PaaS qui répond aux challenges liés à cette évolution.

Containeriser…

Comme pour la virtualisation, la containerisation va permettre aux développeurs de s’abstraire de
la prise en compte des contraintes liées aux infrastructures. Côté production, elle va accroitre
significativement les volumes de charges de travail s’exécutant sur un cluster. Parce qu’ils sont
moins demandeurs de ressources, cinq à dix fois plus de containers que de VM pourront être en
production sur un cluster équivalent. Corollaire, cette démultiplication suppose une gestion plus
fine tant pour les développeurs que pour les équipes de production. Assurer la livraison de
multiples composants logiciels dans une logique de « continuous delivery » et d’une mise à
disposition rapide des applications dans une « continuous integration » suppose de faciliter
l’allocation des ressources nécessaires aux développeurs.

…en sécurisant la supply chain logicielle

Cette évolution impose également de sécuriser toute la chaine de production. Pour les
développeurs, VMware Tanzu Application Platform -TAP- apporte des possibilités de fiabiliser et
d’automatiser la supply chain logicielle. Entre autres, TAP génère automatiquement une
nomenclature logicielle. Tous les composants logiciels sont référencés et, pour garantir ces
développements, l’outil peut les signer grâce à une intégration avec le format de signature Cosign
de Sigstore. Pour les équipes de production comme pour les développeurs dans une logique de
Devops, un autre module de Tanzu, Mission Control, centralise la gestion des clusters Kubernetes.
Cette centralisation permet également de bénéficier de façon transparente de la portabilité des
charges de travail entre les différentes composantes, on premise, cloud privés ou cloud publics.

Bénéficier des compétences acquises sur vSphere

Un des freins actuels à la containerisation massive des applications tient à la complexité dans

l’utilisation des outils open source dédiés à Kubernetes. Pour pallier ce point, VMware a totalement
intégré la suite Tanzu à ses produits phares, vCenter et vSphere. Sur le terrain, l’administration des
clusters Kubernetes – lancer des charges de travail, par exemple – peut être effectuée à partir de
vCenter. Cette approche favorise l’adoption de Kubernetes parce qu’elle ne nécessite pas ou peu de
formation spécifique. La large base de professionnels déjà formée aux outils de VMware peut alors
basculer sur la containerisation sans point d’arrêt lié à la complexité des outils d’orchestration open
source.

Oracle envisage un plan de réduction des
coûts
Oracle prévoit de réduire ses coûts d’un montant qui pourrait atteindre 1 milliard $. Le plan
entraînerait à partir du mois d’août des milliers de suppressions d’emplois chez le spécialiste du
logiciel de gestion et des bases de données, rapporte The Information.

Le plan envisagé de réduction des coûts intervient six mois après l’annonce du rachat pour 28,3
milliards $ de Cerner, poids lourd des services IT pour le secteur de la santé. L’acquisition ajoute 28
000 employés à l’effectif mondial d’Oracle (143 000 personnes à fin mai 2022).

Par ailleurs, Oracle peine encore à rivaliser avec le top 3 mondial des fournisseurs du cloud
d’infrastructure, AWS, Microsoft Azure et Google Cloud.

Or, le plan d’Oracle intervient aussi au moment où le groupe investit pour orienter vers son cloud
davantage de grands comptes clients. C’est notamment le cas du groupe chinois ByteDance qui a
décidé d’adosser à l’infrastructure Oracle Cloud « toutes les données » des utilisateurs américains
de l’application de partage vidéo TikTok.

Aussi, deux dirigeants d’Oracle seraient sur le départ.

Coupes claires en Amérique et en Europe ?
Ariel Kelman et Juergen Lindner quitteraient la multinationale basée à Austin (Texas).

Ariel Kelman, EVP et directeur marketing (CMO) d’Oracle, a rejoint l’entreprise américaine il y a
deux ans et demi. Auparavant, il avait exercé cette même fonction de CMO chez Amazon Web
Services (AWS), premier acteur mondial du cloud d’infrastructure.

Juergen Lindner est SVP et responsable marketing mondial pour le SaaS d’Oracle. Une activité
particulièrement visée par la réorganisation et les suppressions de postes. Celles-ci pourraient
avoir « un impact disproportionné » sur les travailleurs basés aux États-Unis et en Europe, selon
une source proche du dossier citée par The Information.

Le tout dans un climat géopolitique et économique tendu.

Oracle est loin d’être la seule firme technologique à envisager des réductions d’effectifs cet été
2022. D’autres entreprises, start-up et grands groupes, prévoient de réduire la voilure pour adapter
leur activité à l’évolution du marché, satisfaire les exigences d’actionnaires ou encore maintenir une
trajectoire de croissance.

(crédit photo © Shutterstock)

DSI et métiers : une relation à réinventer
Alors que les métiers implémentent de plus en plus d’applications SaaS, les DSI, désabusés ne
peuvent que constater la part grandissante de l’IT qui leur échappe. Rien ne sert de lutter, elles
tireront plus de bénéfices à l’accompagner plutôt qu’à la contrer.

Opter pour une démarche collaborative, tournée vers la responsabilisation des métiers, est la plus
bénéfique des attitudes. La collaboration DSI/métiers est devenue un prérequis à une IT
d’entreprise performante et adaptée aux besoins des utilisateurs.

La vision Top down IT est révolue
En 2030, 85% des SaaS seront directement implémentés par les métiers. Désireux d’autonomie et
d’outils innovants, les collaborateurs choisissent et installent eux-mêmes leurs propres applications
sans en référer à la DSI. Longtemps défini comme du Shadow IT, cette pratique systémique appelée
aujourd’hui « décentralisation de l’IT, n’est pas sans risque pour les entreprises : faille de sécurité,
vol ou perte de données.

Aussi pour contraindre les métiers à rentrer dans le rang, les DSI élaborent des process de plus en
plus coûteux et contraignants. Une pratique qui n’est pas sans créer des tensions entre les DSI et
les métiers. Car qui de mieux placés que les collaborateurs pour communiquer leurs besoins ? Qui
de mieux que la DSI pour évaluer la compatibilité des logiciels métiers avec l’infrastructure IT de
l’entreprise ou la sécurité du SI étendu ?

Pour trouver l’équilibre entre décentralisation de l’IT et protection du parc IT, les DSI n’ont d’autre
choix que de guider et former les métiers dans une optique de self-gouvernance IT qui respecte le
cadre de l’entreprise.

Le boom du SaaS entraîne un vrai changement de

paradigme
Face à l’explosion des SaaS, les départements IT ne peuvent plus espérer reprendre le contrôle de
leur écosystème SaaS en recentralisant tout.

La décentralisation de l’IT étant loin de se limiter à un seul département, elle doit être portée par la
direction générale et considérée comme un véritable projet d’entreprise.

L’enjeu de la DSI consiste alors à encadrer les départements en leur donnant l’autonomie de choisir
leurs propres outils tout en maîtrisant les risques. La DSI endosse un rôle de conduite du
changement dans lequel elle orchestre l’usage des applications traditionnelles, en plus de celles
basées dans le cloud, maîtrise les risques et continue l’architecture technique de l’organisation.

La DSI n’a plus la charge de tout déployer, mais de mettre en place un terrain propice à la
collaboration. Elle doit assumer un rôle stratégique en permettant une démocratisation de l’accès à
l’IT tout en imposant un cadre d’implémentation et d’utilisation de solutions SaaS. Dans cette
redistribution des rôles, les métiers deviennent coresponsables de leurs propres choix
technologiques.

C’est une véritable révolution de la gouvernance IT qui est en marche. Il y a un juste équilibre à
trouver, en permettant aux employés un certain degré d’autonomie, tout en s’assurant qu’ils
passent par les canaux appropriés pour l’adoption des SaaS.

A l’organisation de trouver des règles simples pour implémenter les bons outils, en mettant l’accent
sur la protection des données. Tous les SaaS ne doivent pas être accessibles de la même façon. Des
gardes fous sont nécessaires suivant le niveau de criticité (Business, RGPD, sécurité).

Les SaaS faisant partie du Core IT impactant l’infrastructure même de l’entreprise doivent être
pilotés par la DSI. En revanche, les SaaS de l’IT applicatif, qui présentent moins de risques, peuvent
être directement gérés par les métiers.

Ainsi, la DSI doit pouvoir s’appuyer sur des employés “sponsors” ; des référents par département
qui ont été sensibilisés aux bonnes pratiques et sont les garants du bon respect de la politique
interne.

« App Store » ou la démocratisation de l’IT en toute
sécurité
Ce fonctionnement imaginé sous forme d’un « App Store” d’entreprise permet aux métiers
d’acquérir des applications approuvées par la DSI en un clic. En cas de doute, ils peuvent envoyer
une demande d’évaluation pour s’assurer du respect des règles de l’entreprise.

Cette autonomie est également une arme de rétention et de recrutement redoutable. Pour les
collaborateurs, notamment les jeunes générations, travailler avec des outils sans aucune agilité et
évolution possible, est un “no go” absolu. Un risque à ne pas prendre en pleine guerre des talents.

Le défi pour les grandes entreprises est de taille : admettre l’existence et l’ampleur de la
digitalisation souterraine est loin d’être la finalité. La centralisation de l’IT n’a plus sa place dans un
monde où la technologie est le vecteur majeur de l’agilité et de l’innovation.

Les métiers doivent devenir de vraies parties prenantes dans le parc IT et la DSI, en contrepartie,
fournit un cadre sécurisé et des bonnes pratiques. Un combo liberté/sécurité gagnant sur toute la
ligne !

AWS loue désormais des Mac M1 : quelques
éléments à retenir
Voilà les Mac M1 officiellement disponibles dans l’offre compute d’AWS. Ils rejoignent les Mac x86,
arrivés au catalogue fin 2020.

Dans l’un et l’autre cas, il s’agit de Mac mini à louer en tant qu’hôtes dédiés, pour 24 heures
minimum (obligation du contrat de licence de macOS). Soit en facturation à la demande, soit
dans le cadre des Savings Plans (engagements d’utilisation).

On ne peut lancer qu’une instance par hôte, là aussi en conséquence de la politique d’Apple (une
licence de macOS = un appareil = un client). AWS a intégré la plate-forme Nitro pour faire le pont
avec d’autres de ses services, à commencer par son VPC et son stockage bloc EBS.

L’autoscaling EC2 faisait partie des éléments non pris en charge au lancement des instances M1 en
bêta (c’était à la re:Invent 2021). Aujourd’hui, il l’est. Comme, entre autres, le hotplug EBS. La
compatibilité avec FileVault, au contraire, n’est pas assurée. S’il vous faut du chiffrement au repos et
en transit, utilisez celui d’EBS, conseille AWS. Autre élément non disponible pour le moment sur les
M1 : l’agent EC2 System Monitoring.

À noter pour ce qui est des mises à jour logicielles :

– Elles sont désactivées sur les instances x86
– Les mises à jour « à chaud » ne sont pas prises en charge sur les instances M1. AWS s’engage à
fournir des AMI pour les updates majeurs et mineurs ainsi que pour les correctifs
– Pas de prise en charge des versions expérimentales de macOS

Les Mac M1 dans une région AWS en Europe
Pour se connecter aux instances, deux solutions : SSH et Apple Remote Desktop (y compris via un
client VNC prenant en charge le protocole).
Sur SSH, plusieurs utilisateurs peuvent accéder simultanément à l’OS… mais vérifiez quand même
votre accord de licence pour vous assurer de la conformité de cette pratique, précise AWS. La limite

du nombre de sessions est définie dans le fichier sshd_config. Par défaut, avec le service de partage
d’écran intégré (port 5900), chaque utilisateur a son UI. Par défaut également, pas d’accès root. Et
une authentification par mot de passe désactivée.

Les instances x86 (mac1) sont disponibles dans onze régions AWS. Dont trois en Europe
(Francfort, Londres, Stockholm). Les instances Arm (mac2) sont disponibles dans quatre de ces
régions : USA Est – Virginie, USA Est – Ohio, USA Ouest – Oregon et Europe (Irlande).

Dans la région Irlande, en tarification à la demande, les instances mac1 sont facturées 1,207 $ HT
de l’heure. Soit, hors stockage, un minimum à débourser de 1,207 $ x 24 heures = 28,97 $. Pour
les instances mac2, c’est 0,716 $ HT de l’heure. Soit au minimum 17,19 $.

Illustration principale © Visual Generation – Adobe Stock

Ces 15 certifications IT qui rapportent
Valider des compétences et expertises technologiques est un passage obligé pour les
professionnels du secteur.

De surcroît, les compétences et expertises technologiques certifiées peuvent impacter positivement
la rémunération de spécialistes.

Au Etats-Unis, les certifications de cybersécurité et du cloud sont celles pour lesquelles les
rectruteurs sont prêts à payer plus.

Cloud et cybersécurité d’abord
En témoigne la liste Global Knowledge des 15 certifications qui rapportent le plus :

1. Google Certified Professional Data Engineer
2. Google Certified Professional Cloud Architect
3. AWS Certified Solutions Architect – Associate
4. CRISC (Certified in Risk and Information Systems Control)
5. CISSP (Certified Information Systems Security Professional)
6. CISM (Certified Information Security Manager)
7. PMP® (Project Management Professional)
8. NCP-MCI (Nutanix Certified Professional – Multicloud Infrastructure)
9. CISA (Certified Information Systems Auditor)
10. VCP-DVC (VMware Certified Professional – Data Center Virtualization)
11. MCSE: Windows Server
12. Microsoft Certified: Azure Administrator Associate
13. CCNP Enterprise (Cisco Certified Network Professional – Enterprise)

14. CCA-V (Citrix Certified Associate – Virtualization)
15. CompTIA Security+

Aux Etats-Unis, la rémunération annuelle des professionnels concernés* varie en moyenne de plus
de 110 900 $ pour un profil doté d’une certification de sécurité CompTIA Security+ à plus de 171
700 $ pour un ingénieur de données certifié Google Cloud, relève le groupe de formation Global
Knowledge.

En France, selon une autre étude (le cabinet de recrutement Robert Half), dans les technologies de
l’information et le numérique, le salaire annuel moyen varie de 36 750 euros pour un technicien
systèmes et réseaux en début de carrière à Paris, à 147 000 euros pour un directeur des systèmes
d’information (DSI) expérimenté.

Enfin, toujours selon Robert Half Technology, les certifications des fournisseurs AWS, Cisco,
Microsoft, Oracle et Salesforce font partie des plus demandées.

*Plus de 3700 répondants ont participé à l’enquête américaine de Global Knowledge sur les compétences et les salaires en informatique.

(crédit photo Kevin Ku via Pexels)

Cloud : Microsoft peine à se convertir à sa «
nouvelle expérience commerciale »
La « nouvelle expérience commerciale » (NCE) ? Il n’y a pas que pour Azure que son adoption prend
du retard. Microsoft avait enclenché ce chantier pour son cloud d’infrastructure en 2019… et il n’a
toujours pas pleinement abouti. Depuis, l’éditeur a étendu la démarche, entre autres, à ses
produits en licence perpétuelle. Il a aussi amorcé des travaux sur ses offres commerciales avec
licences par siège. Avec toujours la même cible : ses partenaires revendeurs membres du
programme CSP (Cloud Services Provider).

La promesse pour ces derniers ? Davantage de flexibilité. Par exemple en permettant de récupérer
les prix par API, en gérant les migrations partielles entre SKU ou en mensualisant des offres
auparavant uniquement annualisées.

Microsoft avait détaillé ses plans d’extension de la NCE aux licences par siège à l’été 2021. Le 1er
septembre, une phase expérimentale (sandbox) avait débuté. Avec quatre services concernés :
Microsoft 365, Dynamics 365, la plate-forme Power et Windows 365. En ligne de mire, la
disponibilité général au mois d’octobre. Et, à plus long terme :

– Mars 2022 : nouveaux abonnements et renouvellements uniquement autorisés sur la NCE
– Octobre 2022 : avantages accordés aux partenaires uniquement pour les transactions sur la NCE
– Février 2023 : fin de l’ancien système transactionnel

Plusieurs chantiers en un pour Microsoft
Rapidement, le calendrier prévisionnel s’était décalé. En octobre 2021, la NCE n’était finalement
passée qu’en « aperçu technique », la disponibilité générale étant repoussée à janvier 2022.
Notamment pour avoir le temps d’intégrer, dans le centre de gestion dédié aux partenaires,
l’outillage nécessaire. En l’occurrence, de quoi conserver au maximum le même SKU après la
migration NCE, tout en ayant de quoi modifier des éléments comme la durée du contrat, la
fréquence de facturation et le nombre de sièges.

En parallèle, Microsoft a accordé des périodes de grâce. Par exemple, en prolongeant de mars à
juin 2022 les renouvellements sur l’ancien système transactionnel. Non sans dégainer diverses
promotions pour tenter d’accélérer la transition. Parmi elles, 5 % de remise sur les abonnements
annuels.

Le 10 janvier 2022, date de sa disponibilité générale auprès des partenaires CSP, la NCE restait un «
work in progress ». On nous promettait, entre autres, d’y intégrer :

– Davantage d’offres sur trois ans (en plus de Dynamics 365)
– Un programme de réduction sur l’usage personnel de Microsoft 365 par les employés
d’entreprises abonnées
– Des add-on multirégions pour pouvoir utiliser la suite bureautique sur le datacenter le plus proche

D’autres options sont arrivées au printemps, tel l’allongement de la durée accordée pour annuler
une souscription (passage de 3 à 7 jours). Jusqu’à une récente annonce : finalement, les
abonnements souscrits sur l’ancien système transactionnel continueront à se renouveler
automatiquement… jusqu’à nouvel ordre. Exit la deadline du 11 juillet 2022. Quant aux incentives sur

les abonnements mensuels legacy, ils resteront d’actualité jusqu’au 1er janvier 2023.

Photo d’illustration © Sergey Novikov – Adobe Stock

Google Cloud ouvre sa région France
Les CSP made in USA sont désormais en ordre de marche sur le marché français. Après Microsoft
Azure ( en 2018) et Oracle l’année dernière, c’est au tour de Google Cloud d’ouvrir sa région France.

 » La région est lancée avec trois zones de réplication et l’essentiel de nos services, notamment
Compute Engine, App Engine, Google Kubernetes Engine, Bigtable, Cloud Storage, Spanner et
BigQuery. » indique Google Cloud.

La bien nommée europe-west 9 s’appuie sur trois datacenters installés en Ile de France et distants
d’une dizaine de kilomètres. Pour Google Cloud, il s’agit de la 10ème région en Europe et la 34ème
dans le monde.

« La France est un pays prioritaire pour nous. Nous tenons un engagement pris il y a deux ans
d’investir massivement pour aider les organisations françaises privées et publiques à accélérer leur
transformation numérique » explique son CEO, Thomas Kurian dans une interview au Figaro.

S3NS : une alliance industrielle avec Thalès
Sur un marché portée par la doctrine du Cloud de confiance, le CSP a confirmé la création d’une co-
entreprise avec l’industriel Thalès dont il détient moins de 10 % du capital. S3NS, c’est son nom,
sera opérationnelle en 2024.

Pour les services qu’elles opèrent en son nom sur cette nouvelle région, Google Cloud préfère
utiliser le terme » Cloud à la française ».

Selon Markess by Exaegis, AWS, Microsoft Azure et Google Cloud dominent 71 % du marché Cloud
( IaaS et SaaS) en France en 2021. Avec respectivement des parts de marché de 42% (AWS), 17% (
Azure) et 8% (GC).

 » Le marché français des solutions et services Cloud flirtait avec la barre des 16 milliards d’euros en
2021, en croissance de 15,5%. D’ici 2025, il devrait poursuivre sa forte dynamique pour atteindre un
volume d’activité total de 27 milliards d’euros (+14% de croissance annuelle moyenne). En gagnant
plus de 11 milliards d’euros en quatre ans, il devrait passer de 29% du marché des logiciels et
services numériques en 2021 à plus de 40% en 2025. » indique le cabinet d’études.

Pourquoi FedEx bascule des grands
systèmes au cloud
Le groupe américain de services de fret et logistique FedEx, après avoir « redimensionné » ses
effectifs européens, investit l’optimisation de ses opérations IT.

Cette optimisation passe par le nuage informatique et par l’abandon progressif des ordinateurs
centraux ou grands systèmes (mainframes) qu’utilisent encore l’entreprise. Ainsi, les 20% restants
de son parc mainframe seront définitivement fermés dans les deux ans.

Rob Carter, directeur des systèmes d’information (DSI, CIO en anglais) de FedEx, l’a confirmé
mercredi 29 juin lors d’une réunion avec des investisseurs, dont CIO Dive s’est fait l’écho.

En outre, la bascule vers un environnement cloud doit permettre au transporteur de réaliser des
économies de coûts de 400 millions de dollars par an, a précisé le DSI.

Il s’agit, par ailleurs, d’éliminer les silos de donnés et de disposer de davantage de visibilité sur
l’ensemble de la chaîne d’approvisionnement fortement impactée par les tensions géopolitiques et

commerciales mondiales. De surcroît, l’entreprise affûte sa stratégie de données avec l’aide de sa
filiale de data science et machine learning FedEx Dataworks.

« Network 2.0 »
Le mouvement s’inscrit dans le plan « Network 2.0 ».

Ce plan quinquennal de 2 milliards de dollars vise à ameliorer l’efficacité des opérations
commerciales et techniques de FedEx.

Il s’agit en outre d’optimiser les ressources, d’affûter la logistique et de favoriser la collaboration
entre les entités Express, Ground et Freight de la multinationale.

Le fonds spéculatif activiste D.E. Shaw veille.

Du côté des fournisseurs du mainframe, matériel et logiciels, la transition se précise. IBM, par
exemple, propose un accès « as a service » à un environnement z/OS, son système d’exploitation
pour ordinateurs centraux, et ce dans un espace protégé de son cloud public.

L’offre est proposée pour les tests et le développement uniquement.

(crédit photo © Adobe Stock)

Cloud de confiance : quelle feuille de route
pour S3NS, la coentreprise Google-Thales ?
« Une manière d’occuper le terrain. » Ainsi David Chassan, directeur de la stratégie chez 3DS
Outscale, interprète-t-il l’annonce de la semaine dernière au sujet de Bleu. Dans l’absolu, la
structure ne sera effectivement opérationnelle qu’en 2024. Elle associe Orange et Capgemini à
Microsoft pour proposer un « cloud de confiance » labellisé SecNumCloud.

L’alliance Google-Thales a le même objectif. Et vise la même échéance – plus précisément, le 2 e
semestre 2024. Elle a toutefois monté une offre « intermédiaire ». Six early adopters la testeront à
partir de cet été.

Cette offre ne postulera pas au label SecNumCloud. Elle constituera cependant, nous promet-on,
un tremplin vers le « cloud de confiance » : environnement d’intégration similaire, briques
communes, stratégie simplifiée de redéploiement…

Pour porter ces deux offres, une société de droit français : Thales Cloud de Confiance, une SASU
créée en octobre dernier, au moment où les deux groupes officialisaient leur partenariat. On la
connaît sous la marque commerciale S3NS (à prononcer « sens »). Cyprien Falque en est le

directeur général. Cet ancien de BCG et de ManoMano était déjà responsable, chez Thales, dudit
partenariat. La présidence de S3NS revient à Walter Cappilati, DG de Thales Services Numériques
(et ex-Capgemini).

Thales contrôle entièrement la société S3NS. Google en est actionnaire minoritaire (moins de 10 %
du capital). L’effectif se chiffre pour le moment en dizaines de salariés. Il est question d’atteindre la
centaine. Parmi les postes actuellement ouverts, un SRE, un customer engineer et un responsable
commercial.

L’offre « intermédiaire » sera vendue sous la marque « Contrôles locaux avec S3NS ». Elle donnera
accès aux services Google Cloud suivants (avec les mêmes SLA que l’offre publique) :

Pas de SecNumCloud prévu, donc, mais un certain nombre de certifications visées. Parmi lesquelles
:

S3NS : Thales pas encore à pleine puissance
Qu’entendre par « contrôles locaux » ? Essentiellement :

– Localisation des données en France ou en Europe, à la demande du client

– Support technique initialement assuré par Google Cloud depuis l’UE (« avec des exceptions
possibles pour les rares cas de support avancé) ; puis par S3NS à partir de fin 2023, avec des
interlocuteurs francophones

– Contrôle cryptographique sur l’accès aux données

Ce « contrôle cryptographique » reposera sur deux services. Ceux-là même qui constituent le socle
de l’offre Assured Workloads, que Google Cloud expérimente depuis quelques mois en Europe.
D’un côté, Key Access Justifications (KAJ). De l’autre, External Key Manager (EKM).

EKM permet d’exploiter des clés de chiffrement externes – qui seront, dans le cas de S3NS, stockées
sur des équipements Thales.
KAJ peuple toutes les requêtes EKM (appels à une clé pour le déchiffrement) d’un champ «
justificatif ». Objectif : expliquer le pourquoi des requêtes en question. Et permettre une réponse
automatique qu’on aura paramétrée au niveau des équipements en question.

À l’avenir, S3NS prévoit d’offrir des fonctionnalités de corrélation des journaux KAJ. Et de définir des
politiques plus granulaires spécifiques par client. Parmi ses autres priorités :

L’offre « intermédiaire » exploitera les trois datacenters franciliens qui constituent la région France
de Google Cloud. L’offre SecNumCloud utilisera quant à elle des salles dédiées, à proximité. Avec

isolation physique (réseau, racks, serveurs) et cryptographique (identités, racine de confiance,
chiffrement au repos et en transit). S3NS assurera le support et la supervision (télémétrie
partiellement partagée avec Google Cloud). La société bénéficiera d’une capacité d’audit de code.
Les mises à jour logicielles, notamment, passeront par un « sas de sécurité » que pilotera Thales.

Illustration principale © sdecoret – Adobe Stock

Serverless : pourquoi faut-il migrer ses
applications ?
Ce sera, sans nul doute, la mission numéro un des DSI pour ces prochaines années : le modèle
serverless s’impose comme étant le plus adapté pour exploiter les ressources du cloud public sans
faire exploser sa facture. Le vaste chantier de migration des applications est lancé ! 

Après la virtualisation, puis le « move to cloud », la conteneurisation des applications, le serverless
est sans doute la prochaine étape de la dématérialisation des infrastructures informatiques. En
tout cas, il est désormais au cœur de la modernisation des applications.

« La définition du serverless, c’est de ne plus avoir d’instance serveur ou d’infrastructure à gérer,
avec un paiement à l’usage », résume Sébastien Stormacq, Principal Développer Advocate chez AWS
(Amazon Web Services).

« Le serverless offre évidemment la capacité de monter en charge automatiquement, mais aussi de
réduire l’infrastructure jusqu’à zéro, lorsque celle-ci n’est pas sollicitée. C’est une capacité de « scale
to zero » que n’offrent pas les machines virtuelles, car on continue à payer pour celle-ci, même si
aucune application ne tourne, et ce tant qu’elle n’est pas décommissionnée. »

Ce n’est pas un hasard si Veolia, l’entreprise du CAC40 la plus avancée dans sa stratégie de « move
to cloud », s’est très rapidement intéressée à AWS Lambda dans une logique FinOps.

Le géant de l’environnement a mis en place une série de fonctions Lambda pour traquer les
ressources EC2, EBS, RDS, ELB et S3 inutilisées dans son infrastructure.

Finops, puissant moteur pour le serverless
Si les fonctions Lambda d’AWS et ses équivalents Azure Functions et Cloud Functions de Google ont
permis, dans un premier temps, de créer des petites fonctions orientées DevOps, leurs capacités se
sont nettement accrues ces dernières années.

Et chaque cloud provider propose maintenant tout un écosystème de solutions qui favorisent la
conception d’applications serverless de plus en plus ambitieuses. « Comme pour de nombreux
services que nous lançons, nous avions pensé à un usage et nos clients en ont trouvé d’autres »,
commente Sébastien Stormacq. « Nous avons imaginé, à l’origine, le serverless pour faire tourner
du code en réponse à des événements et gérer ainsi automatiquement l’infrastructure. Le nombre
et la nature des événements se sont élargis. Il est devenu possible de faire des appels d’API
externes depuis Lambda et ainsi d’ouvrir le serverless à toutes les applications. »

Depuis son lancement en 2014, de plus en plus de langages sont disponibles pour AWS Lambda et,
il y a deux ans, l’Américain a implémenté la fonction de « custom runtime » qui permet de faire
tourner n’importe quel workload compatible Linux en serverless.

En parallèle, tous les fournisseurs de services cloud ont accru la puissance de calcul disponible
pour les fonctions serverless, augmenté le temps de traitement maximal et introduit des capacités
de démarrage à froid plus performantes, autant d’améliorations qui ont rendu ces fonctions
utilisables dans un nombre de cas d’usage bien plus larges.

La nouvelle version de Cloud Functions, de Google, permet d’allouer 16 Go de RAM et quatre
processeurs virtuels à Cloud Functions, un temps de traitement de 60 minutes maximum et jusqu’à
1 000 requêtes simultanées… de quoi satisfaire différents de besoins applicatifs !

Orchestrer les enchaînements de fonctions
Outre l’exécution de services, les offres serverless des hyperscalers se sont très largement
étendues et il est aujourd’hui possible de créer des architectures extrêmement complexes en quasi
100 % serverless. Si on prend le catalogue serverless de Microsoft Azure, on y trouve de multiples
solutions.

Dans le domaine du calcul, outre Azure Functions, Microsoft propose Kubernetes Serverless pour
combiner une approche conteneurs au serverless. Des outils orchestration (Azure Logic Apps) et de
bus d’événement Event Grid permettent d’orchestrer des enchainements de fonctions serverless et
ainsi de créer des applications bien plus évoluées qu’un simple déclenchement de fonction.

Même les bases de données qui doivent pourtant assurer la persistance des données dans ces
nouvelles architectures connaissent cette vague du serverless.

Microsoft a décliné son SGBD managé Azure SQL Database en version serverless. L’idée n’est
évidemment pas de créer, puis de détruire la base de données à chaque appel, mais de bénéficier

d’une facturation à l’usage, à la seconde, avec la possibilité de placer la base de données en pause
et ne payer alors que le stockage.

Chaque hyperscaler cherche à favoriser au maximum l’intégration de ses services aux architectures
serverless de ses clients. Connexion aux passerelles d’API, génération d’événements par chacune
de ses solutions, le degré d’intégration de l’application peut être très avancé, avec un risque évident
de « vendor lock-in » pour l’entreprise qui fait ce choix.

Sites transactionnels, applications Big Data/IA, IoT, quasiment plus aucun domaine ne pourra
échapper à cette nouvelle révolution dans les architectures distribuées. 

vSphere+ : qu’y a-t-il dans la vitrine
multicloud de VMware ?
« Faire du cloud hybride le modèle par défaut ». C’était la promesse de l’initiative Project Arctic,
annoncée au dernier VMworld. Concrètement, il s’agissait de favoriser l’accès aux capacités de
VMware Cloud à travers vCenter. L’offre vSphere+, fraîchement officialisée, en est une incarnation.

La technologie sous-jacente n’est pas nouvelle : il s’agit de greffer aux instances vCenter une
passerelle (appliance virtuelle) qui permet d’accéder à des services cloud. Premier public visé : les
admins. Avec une console qui gère notamment :

– Inventaire des ressources
– Consolidation des événements et des alertes
– Évaluation de posture de sécurité
– Provisionnement de VM (sans passer par vCenter)
– Gestion du cycle de vie des instances
– Uniformisation des configurations

Deuxième public : les développeurs. Avec, comme socle, le Kubernetes de VMware (Tanzu

Kubernetes Grid). Et un ensemble de services complémentaires (stockage, réseau, registre…) déjà
accessibles dans le cadre de l’offre vSphere with VMware Tanzu.

vSphere+ reprend un éventail d’outils de gestion inclus dans l’offre vSphere Enterprise Plus. Cela va
de la planification des mises à jour de vCenter au chiffrement des VM en passant par l’extinction
automatique des hôtes. D’autres sont disponibles dès vSphere Standard. Comme les stratégies de
stockage, la fédération ADFS ou la prise en charge des fonctions Microsoft VBS (sécurité basée sur
la virtualisation).

vSphere+ donnera accès à certaines fonctionnalités en SaaS, sous forme d’add-on. Premier sur la
liste : l’offre VMware Cloud Disaster Recovery. On nous parle aussi de protection contre les
ransomwares et de planification de capacité.

vSAN également décliné
À sa sortie commerciale, prévue d’ici au 29 juillet*, vSphere+ nécessitera la dernière version de
vCenter. Et au moins ESXi 6.7.

Le modèle économique ? Une réservation de capacité pour 1, 3 ou 5 ans… et une facturation
mensuelle des éventuelles consommations excédentaires. On est sur une licence par cœur
physique, avec un minimum de 16 cœurs par CPU. L’usage est mesuré en agrégeant, sur une base
horaire, le nombre de cœurs qu’utilisent les hôtes des différentes instances vCenter. Pour le
moment, vSphere+ ne délivre pas d’alertes en cas de dépassement de capacité.

La conversion de licences vSphere sur site est possible, moyennant des critères qu’on peut
consulter sur ce lien. On peut également faire coexister les deux types de licences sur un même
environnement. Ce qui peut être utile si on utilise vSAN, NSX-V, Site Recovery Manager ou vCloud
Suite (vCS). Ces derniers ne sont pas encore compatibles avec vSphere+.

Il existe aussi une offre vSAN+, proposée en tant qu’add-on pour vSphere+. S’appliquant au niveau
des clusters, elles ne peut pas cohabiter avec des licences vSAN « classiques » (perpétuelles).

* Il faudra attendre un peu plus pour l’intégration de la brique d’observabilité Tanzu Mission Control
Essentials. Date butoir : fin septembre.

Illustration principale © Macrovector – Shutterstock

Cloud : comment protéger l’Europe de lois à
portée extraterritoriale
Le commissaire européen au marché intérieur, Thierry Breton, sera-t-il sensible au courrier que lui
adressent les collectifs professionnels Cigref en France et VOICE en Allemagne ?

Les deux associations fédèrent des DSI et CTO de grandes entreprises et administrations
publiques. Elles partent du constat suivant : « le cloud, dans sa dynamique exponentielle sur le
marché européen, et la captation hégémonique de celui-ci par les hyperscalers, offre à des
autorités étatiques non européennes un moyen, sans équivalent dans l’histoire, pour accéder
massivement aux données sensibles de l’économie de notre continent. »

Dans ce contexte, de nombreuses organisations en Europe font le choix « de maintenir dans leurs
locaux l’hébergement de certaines de leurs données, et les traitements associés. » Or, l’Union
européenne doit assumer les conséquences de l’arrêt du 16 juillet 2020 de la Cour de justice de l’UE
invalidant l’accord d’adéquation Privacy Shield, dans l’affaire « Schrems II ».

Et d’insister : « la législation actuelle n’est pas propice au développement d’une liberté de circulation
de données. » En conséquence, le Cigref et VOICE appellent de leurs voeux le déploiement d’un
« cadre de confiance permettant de garantir la sécurité des données sensibles des entreprises et
des administrations publiques dans le cloud. »

En outre, le Cigref et VOICE saluent le projet européen de loi sur les données (Data Act). Présenté
en février dernier, ce texte porte sur la circulation des données non personnelles (industrielles)
hébergées en Europe et sur leur protection vis-à-vis des accès internationaux.

« Immunité face aux lois à portée extraterritoriale »
Aussi, VOICE et le Cigref, qui représentent des utilisateurs de technologies et non des fournisseurs,
expriment des ambitions sur le futur schéma européen de certification pour les services cloud
(European Cybersecurity Certification Scheme for Cloud Services – EUCS).

Les associations invitent les institutions européennes et l’Agence européenne pour la cybersécurité
(ENISA) à adopter un schéma permettant d’instaurer un cadre harmonisé de protection et sécurité
des systèmes d’information et des données sur le territoire de l’UE. Et ce avec un niveau elevé
« d’immunité aux législations non européennes à portée extraterritoriale de certaines offres de
services cloud proposées sur le marché européen. »

Elles estiment qu’un tel schéma peut s’inscrire dans l’esprit du Cybersecurity Act. Enfin, elles
appellent « la Commission européenne à arbitrer fermement en faveur d’un niveau élevé de
sécurité dans le troisième niveau du futur schéma européen de certification pour les services
cloud », en cohérence avec les besoins exprimés dans le cadre de Gaia-X.

(crédit photo © Shutterstock)

OVHcloud : 5 start-up internationales à
suivre
OVHcloud, en partenariat avec Empact Ventures, met en exergue de jeunes pousses
technologiques internationales dans le cadre de son événement Startup Program Showcase.

5 start-up finalistes ont présenté leurs projets le 22 juin dernier :

– Anadata (société d’analyse de données géospatiales et télédection)
– Interest Protocol (protocole de prêt supportant différentes classes de crypto-actifs, dont les NFT,
les jetons porteurs d’intérêts et les jetons fournisseurs de liquidités)
– i.praedico (automatisation de l’analyse de sinistres corporels pour assurances)
– Polymore (détection automatique des déchets incorrectement triés)

– U Impact (plateforme de placement durable).

A l’issue du concours, toutes accèdent au réseau de partenaires, clients et investisseurs d’Empact
Ventures.

Quant au gagnant, U Impact, il bénéficie d’une dotation de 10 000 euros et d’échanges directs avec
Michel Paulin, CEO d’OVHcloud. Et rejoint l’OVHcloud Startup Program.

Faciliter l’accès à l’écosystème
OVHcloud accompagne « en faciliteur » depuis 2015 de jeunes pousses technologiques du monde
entier dans le cadre de son OVHcloud Startup Program.

Jusqu’à présent, plus de 2600 start-up et scale-up ont été identifiées et soutenues par l’hébergeur
internet français et son écosystème, dans ce cadre.

Elles peuvent recevoir par ce biais jusqu’à 100 000 euros de crédits technologiques à utiliser sur les
solutions cloud du fournisseur européen, et jusqu’à 20 heures d’accompagnement.

Aussi, OVHcloud peut faciliter leur accès à d’autres programmes ainsi que leur développement
commercial au sein de son écosystème, voire leur visibilité à l’international.

Le jury était composé cette année de Ewa Geresz (Venture Café Warsaw Foundation), Romain Grieu
(corporate finance OVHcloud) et Nicolas Romelé (partenariats OVHcloud).

L’initiative s’incrit dans un mouvement plus large initié par des acteurs privés et publics en faveur
des start-up, dont le soutien de la France et de ses partenaires européens en faveur de la création
de 10 à 20 fonds paneuropéens soutenant de jeunes pousses et scale-up.

(crédit photo © Shutterstock)

Cloud et sécurité : les référentiels-clés
selon le Clusif
Quels référentiels pour traiter le sujet de la sécurité dans le cadre de projets cloud ? Ce fut, à l’été
2020, l’objet d’une publication du Clusif. Sur vingt-trois documents listés, deux avaient obtenu la
note maximale de 5 étoiles, en tant qu’« incontournables ». Dans la catégorie 4 étoiles, on en
trouvait quatre.

L’essentiel de ces six documents sont toujours d’actualité dans leur version évaluée par le Clusif. À
commencer par les deux notés 5 étoiles.